预防SQL注入

问题：

如何预防SQL注入？

 问题描述

也许你会说攻击者要知道数据库结构的信息才能实施SQL注入攻击。确实如此，但没人能保证攻击者必定拿不到这些信息，一旦他们拿到了，数据库就存在泄露的危险。若是你在用开放源代码的软件包来访问数据库，好比论坛程序，攻击者就很容易获得相关的代码。若是这些代码设计不良的话，风险就更大了。目前Discuz、phpwind、phpcms等这些流行的开源程序都有被SQL注入攻击的先例。

这些攻击老是发生在安全性不高的代码上。因此，永远不要信任外界输入的数据，特别是来自于用户的数据，包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样，就算是正常的查询也有可能形成灾难。

SQL注入攻击的危害这么大，那么该如何来防治呢?下面这些建议或许对防治SQL注入有必定的帮助。

 

预防SQL注入建议

1.严格限制Web应用的数据库的操做权限，给此用户提供仅仅可以知足其工做的最低权限，从而最大限度的减小 注入攻击对数据库的危害。

2.检查输入的数据是否具备所指望的数据格式，严格限制变量的类型，例如使用regexp包进行一些匹配处理， 或者使用strconv包对字符串转化成其余基本类型的数据进行判断。

3.对进入数据库的特殊字符（'"\尖括号&*;等）进行转义处理，或编码转换。Go 的text/template包里面的 HTMLEscapeString函数能够对字符串进行转义处理。

4.全部的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入 到SQL语句中，即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query，或者 Exec(query string, args ...interface{})。

5.在应用发布以前建议使用专业的SQL注入检测工具进行检测，以及时修补被发现的SQL注入漏洞。网上有不少 这方面的开源工具，例如sqlmap、SQLninja等。

6.避免网站打印出SQL错误信息，好比类型错误、字段不匹配等，把代码里的SQL语句暴露出来，以防止攻击者 利用这些错误信息进行SQL注入。

 

总结

经过上面的示例咱们能够知道，SQL注入是危害至关大的安全漏洞。因此对于咱们日常编写的Web应用，应该对于每个小细节都要很是重视，细节决定命运，生活如此，编写Web应用也是这样

 

转载自 https://www.chaindesk.cn/witbook/17/277