创造新看点
首页 >> 科技咖 >> 正文

网站安全防护 如何防止sql注入的安全建议

日期:2019-07-11 19:38:14 来源:互联网 编辑:小优 阅读人数:298

目前phpdisk最新版本为7.0版本,该网站可以用于公司办公,企业内部件共享,档存储,比传统的FTP软件更为直观,操作,简单方便,快捷,用户上传件格式可以后台设置,人性化,满足了很多企业以及个人用户的青睐,使用的人越多,针对于该网站的漏洞挖掘也会越来越多,很容易遭受到攻击者的攻击。关于该网站的sql注入攻击漏洞的详情,我们SINE安全来详细的跟大家讲解一下

SQL注入漏洞详情

phpdisk有多个版本,像gbk版本,utf8版本,在代码当中都会相互转换代码的功能,在对代码进行的同时多多少少会存在漏洞,该sql注入漏洞产生的原因就在这里,我们对代码进行安全审计后发现编码转换调用的是conver_str函数,大部分的网站对编码的转换都调用这个参数,在进行的时候进行了多次转义操作,我们追踪代码发现iconv存在sql宽字节注入漏洞,代码截图如下

网站安全防护 如何防止sql注入的安全建议(图1)

另外的一处sql注入漏洞是在代码件里,根目录下的ajax.php件。我们来看下代码

网站安全防护 如何防止sql注入的安全建议(图2)

本身该代码已经使用了全局变量的sql过滤,对一些sql注入语句进行了安全过滤与拦截,一般性的sql注入攻击都不会成功,但是经过我们的安全检测与绕过,可以直接将SQL注入语句植入到网站当中,并从后端执行数据库的查询操作,使用加密对其进行sql攻击。

网站安全防护 如何防止sql注入的安全建议(图3)

网站安全防护 如何防止sql注入的安全建议(图4)

如何防止sql注入攻击呢?修复网站的漏洞

本文相关词条概念解析:

注入

所谓的SQL(结构化查询语言)注入,简单来说就是利用SQL语句在外部对SQL数据库进行查询,更新等动作。首先,数据库作为一个网站最重要的组件之一(如果这个网站有数据库的话),里面是储存着各种各样的内容,包括管理员的账号密码,

网友评论
  • 我如果退出
    如何从根本上防止SQL注入?
    2019-11-11 17:07 765
  • 小鱼儿62
    数据库预编译为什么能防止SQL注入?
    2019-11-09 13:34 613