防止SQL注入攻擊的方法

攻擊者如此青睞Web攻擊的一個重要原因是它可以損害一些無辜的站點，并用于感染大量的受害者。事實證明，Web服務器已經被證明是互聯網絡中的“軟柿子”，攻擊者們可以充分利用之。這種攻擊的唯一受害者就是用戶，因為正是用戶在瀏覽受到危害的網站時會將自己暴露給惡意代碼。然而，除了用戶之外，還有兩個受害人，即網站的所有者和管理員。

在近半年來的SQL注入攻擊中，這一點尤其明顯，在其中，后端數據庫可能被惡意代碼感染。清理這種攻擊的后遺癥是很痛苦的，有許多案例證明，清理數據庫之后，幾小時后會再次遭受攻擊。最佳的方法是預防，從一開始折庫網就想方設法避免遭受攻擊。

在此，筆者只是總結幾條技巧，站點所有者和管理員可以遵循之，便可以將遭受攻擊的機會最小化。

制定最佳方法

SQL注入攻擊并不是新東西，攻擊者們掌握這項技巧已經有許多年了。近些日子，許多網站發(fā)表了一些文章提供了一些資源，幫助開發(fā)人員編寫安全代碼。安全管理人員應當制定一些通用的安全方法，下面給出三點建議。

一、建立參數化的存儲進程；

二、最少特權連接；

三、僅對所有的存儲進程授權“運行”許可；

四、僅對應用程序域組授予許可

除了一開始就注意安全地開發(fā)應用程序，對現有的應用程序實施評估是很重要的，這包括對第三方的應用程序。可以利用惠普發(fā)布的Scrawlr來幫助開發(fā)人員查找包含漏洞的頁面。此外，谷歌提供的ratproxy也是不錯的選擇。

盡可能少的特權

開發(fā)人員應當確保Web應用程序以最少的特權運行，千萬不要使用管理員賬戶運行，如避免使用db_owner 或 sysadmin等賬號運行。

服務器日志

跟蹤日志對于診斷攻擊是很有用的。近半年以來的SQL注入攻擊都是通過惡意的HTTP請求發(fā)生的。對服務器中的URI查詢串進行檢查可有助于確認攻擊，并可成為日后調查的起始點。

第三方廠商

如果單位使用第三方開發(fā)的軟件，要確保其遵循最佳的方法。要特別關注其程序的測試，要關注其開發(fā)力量和軟件升級能力。

保護Web應用程序

現在的市場上，有各種各樣的產品可以強化Web應用程序的安全，防御一些攻擊。但這些不能成為代替開發(fā)安全程序的最佳方法和技巧。例如網站空間Web應用程序防火墻中，現在有大量的商業(yè)產品可以選擇。有的防火墻，如IPS方案可有助于保護Web服務器免受攻擊，并可阻止惡意的請求，防止其訪問服務器。

對付Web威脅和SQL注入攻擊并沒有什么一招制敵的妙方。但是加強對用戶的教育，并實施一些行業(yè)的最佳方法，這確實可防止通過注入攻擊實施的Web損害。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]