移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑,随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击,网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员数据被盗走,这无意是给网站带来了严重的影响与经济损失。
像之前的高考网站被黑,高考完的学生们去查高考分数的这种急迫心情,就这么被攻击者给破坏,导致高考成绩不能正常查询,带来了更多心里上的担心与考生的信息可能面临着被泄露,紧接带来的就是一系列的经济诈骗的发生,上面发生的种种情况,都跟我们今天要说的网站安全防护,关于如何更好的防止SQL注入攻击?
网站被黑的情况,经过我们SINE安全公司多年来的安全维护经验来总结,一般都是由于网站存在漏洞,大多数是跟网站SQL注入漏洞有关,mysql数据库,oracle数据库,sql数据库,都会遭到sql的注入攻击,进而导致网站的数据库信息被脱裤,这种攻击手段一般会在访问日志以及网站内部的流量统计里发现问题,SQL注入攻击的技术在近几年一直在升级变化,攻击特征也比较另类,甚至伪装成正常的sql语句来执行攻击者的恶意参数。
网站的访问,用户打开网站以及登录,各项的网站交互功能使用过程当中,Linux服务器端应该对前端网站用户的访问与GET POST,COOKIES提交的参数进行安全过滤,把正常的sql语句执行到数据库。而攻击者是利用sql语句执行的便利条件,掺杂进恶意的sql注入语句执行到数据库中,比如查询网站管理员的账号密码,修改网站会员的提现银行卡,修改网站的支付接口,支付账号,通过数据库篡改注单,修改投注记录、修改会员密码或者会员的认证资料,银行卡等攻击症状。总的来说攻击者把正常的sql语句转变成恶意的sql注入语句,执行到数据库里并进行读写查询。
那么该如何更好的防止网站被sql注入呢?
首先我们应该对网站程序代码进行详细的安全检测,与网站漏洞检测,在网站的前端进行多种方式的提交与注入检测,对代码里中与用户交互并与数据库直接传输打交道的代码进行严查,看看是否可以掺杂非法的sql注入代码进去。对GET、POST、COOKIES的提交进行过滤,过滤特殊符号,对一些&*%¥#@/等等的符号,以及转义符号进行严格的过滤与拦截。对前端的网站进行PHP安全函数的变量过滤,网站web端的JS过滤检测是否含有SQL注入的非法参数,比如一些sql注入代码,and 1=1 1=2 select union等查询的语句过滤。
字符串的安全过滤,对and以及delete,updata,char,master,chr.exec,mid,declare,or,count等等的字符串在服务器端进行严格拦截,当用户输入过来的值以及数据包中含有以上的字符串,进行拦截并记录到日志里,以防拦截正常的用户交互功能使用。
网站前端也可以使用WAF防火墙,使用CDN进行防护sql注入,国内可以使用百度CDN来进行防止sql注入攻击。