漏洞描述
SQL 注入攻擊指攻擊者通過(guò)欺騙數據庫服務器,來執行未授權的任意查詢。SQL 注入攻擊借助 SQL 語法,針對(duì)應用程序開(kāi)發(fā)者在編程過(guò)程中的缺陷或不嚴謹代碼,當攻擊者能(néng)夠操作數據,向(xiàng)應用程序中插入一些 SQL 語句時,SQL 注入攻擊就(jiù)發(fā)生了。通常情況下,攻擊者會(huì)在應用程序中預先定義好(hǎo)的查詢語句結尾加上額外的 SQL 語句元素,來實現 SQL 注入攻擊。
修複建議
若您使用的是第三方 CMS程序(如:Discuz!,DedeCMS,ECshop等),請將(jiāng)程序升級至最新版本。 過(guò)濾用戶輸入的數據。默認情況下,應當認爲用戶的所有輸入都(dōu)是不安全的。 在網頁代碼中需要對(duì)用戶輸入的數據進(jìn)行嚴格過(guò)濾。 部署 Web 應用防火牆。對(duì)數據庫操作進(jìn)行監控。