漏洞描述
SQL 注入攻擊指攻擊者通過欺騙數據庫服務器,來執行未授權的任意查詢。SQL 注入攻擊借助 SQL 語法,針對應用程序開發者在編程過程中的缺陷或不嚴謹代碼,當攻擊者能夠操作數據,向應用程序中插入一些 SQL 語句時,SQL 注入攻擊就(jiù)發生(shēng)了。通常情況下,攻擊者會在應用程序中預先定義好的查詢語句結尾加上額外的 SQL 語句元素,來實現 SQL 注入攻擊。
修複建議(yì)
若您使用的是第三方 CMS程序(如(rú):Discuz!,DedeCMS,ECshop等),請(qǐng)将程序升級至最新版本。 過濾用戶輸入的數據。默認情況下,應當認爲用戶的所有輸入都是不安全的。 在網頁代碼中需要對用戶輸入的數據進行嚴格過濾。 部署 Web 應用防火(huǒ)牆。對數據庫操作進行監控。