如何进行 SQL 注入的防御
关闭应用的错误提示
加 waf
对输入进行过滤
限制输入长度
限制好数据库权限,drop/create/truncate 等权限谨慎 grant
预编译好 sql 语句,python 和 Php 中一般使用?作为占位符。这种方法是从编程
框架方面解决利用占位符参数的 sql 注入,只能说一定程度上防止注入。还有缓
存溢出、终止字符等。
数据库信息加密安全(引导到密码学方面)。不采用 md5 因为有彩虹表,一般
是一次 md5 后加盐再 md5
清晰的编程规范,结对/自动化代码 review ,加大量现成的解决方案
(PreparedStatement,ActiveRecord,歧义字符过滤, 只可访问存储过程
balabala)已经让 SQL 注入的风险变得非常低了。
具体的语言如何进行防注入,采用什么安全框架
SQL 注入问题既不能“靠用户(开发者也是用户)的自觉去避免”,也不能完全脱离用户(开
发者也是用户)而指望数据库层面去避免。对于那些不了解 SQL 注入漏洞细节或不关心
SQL 注入漏洞或没精力去关心 SQL 注入漏洞的工程师,你要给他们一条尽可能简单可行透
明的方案来避免 SQL 注入漏洞,告诉他这样写就可以了,这就是安全框架;然后告诉他或
者让他的老大告诉他你必须这样写,这就是安全编码规范;然后你有手段在他没有这样写
的时候能够检查出来(这比检查出漏洞要容易)并推动他改正,这就是白盒检查。
我们现在的互联网产品 SQL 注入漏洞仍然层出不穷,并不是这套思路有问题,相反恰恰是
这套思路没有完善。一方面是框架方案本身不完善,以 SQL 注入漏洞为例,参数化是防 SQL
注入框架级方案的重要部分,但仅靠参数化没法很好满足开发过程中一些常见需求,如逗
号分割的 id 列表问题、排序标记的问题等等(其实这些问题真要用参数化的方案解决也可
以),使得开发更愿意在这些地方使用非参数化或伪参数化的方法(比如拼接 SQL 片段后
再把整个片段当作参数扔进去 exec)。这些问题在参数化的基础上,再加以改进,仍然守
着拼接 SQL 片段时进行强类型转换的思路,仍然是能很好解决的,也就是继续完善参数化
方案的问题,而不是看上去那样“参数化解决不了问题”。另一方面,安全编码规范的制定、
培训、流程建设和实施保证上也做得远远不到位,开发 leader 们更希望后面的数据库或者
前面的安全防御上能有手段去解决 SQL 注入问题,对于安全工程师来说,设置并维护几个
