SQL注入防御：用三種策略應對SQL注入攻擊

發布: 2008-6-16 15:25 | 作者: 安娜 | 來源: 希賽網 | 查看: 117次 | 進入領測軟件測試網論壇討論

　* Microsoft安全部門（The Microsoft Security Development Lifecycle,SDL）對SQL注入的防御進行了一些指導。簡單來說有三種策略來應對SQL注入攻擊：

　　1. 使用SQL參數查詢

　　2. 使用存儲過程

v!r u^X"I'_5A q4ds　　3. 使用SQL僅執行（execute-only）許可

u"M]8f:e#yGg　　同時，編寫安全的代碼（第二版）也指導了如何防御此類攻擊。

Z:@/e G\H p　　* 減輕SQL注入：使用參數查詢（第一部分和第二部分）。使用參數化查詢的好處是它將執行的代碼（例如SELECT語句）和數據（由程序使用者提供的動態信息）分開。該途徑防御了通過用戶傳遞來執行的惡意語句。

@3Y7qY~　　在經典ASP代碼中過濾SQL注入（或者黑名單中的字符），我們將如下的工作認為是實際中臨時性的解決方案，因為它治標不治本。（例如，代碼仍然是有漏洞的，他仍然可能被繞過過濾機制而被訪問到）