SQL注入漏洞的解決方案:
1、將所有用戶輸入的數(shù)據(jù)嚴(yán)格檢查,對(duì)數(shù)據(jù)庫(kù)配置使用最小權(quán)限原則;
2、所有的查詢語(yǔ)句使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢接口,參數(shù)化的語(yǔ)句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語(yǔ)句中;
3、對(duì)能進(jìn)入到數(shù)據(jù)庫(kù)特殊字符進(jìn)行轉(zhuǎn)義處理,或編碼轉(zhuǎn)換;
4、數(shù)據(jù)長(zhǎng)度的規(guī)定,防止較長(zhǎng)的SQL注入語(yǔ)句無(wú)法正確執(zhí)行;
5、網(wǎng)站數(shù)據(jù)層的編碼統(tǒng)一,全部使用UTF-8編碼,上下層編碼不一致會(huì)導(dǎo)致過(guò)濾模型被繞過(guò);
6、確認(rèn)每種數(shù)據(jù)的類型,例如:數(shù)字型的數(shù)據(jù)規(guī)定用數(shù)字;
7、避免網(wǎng)站顯示SQL錯(cuò)誤信息,例如:類型錯(cuò)誤、字段不匹配等;
8、嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫(kù)的操作權(quán)限;
閱讀本文的人還可以閱讀: