漏洞描述
SQL 注入攻擊指攻擊者通過欺騙數據庫服務器,來執行(xíng)未授權的(de)任意查詢。SQL 注入攻擊借助 SQL 語法,針對應用程序開發者在編程過程中的(de)缺陷或不嚴謹代碼,當攻擊者能夠操作數據,向應用程序中插入一(yī)些 SQL 語句時,SQL 注入攻擊就發生了。通常情況下,攻擊者會在應用程序中預先定義好的(de)查詢語句結尾加上額外的(de) SQL 語句元素,來實現 SQL 注入攻擊。
修複建議
若您使用的(de)是第三方 CMS程序(如(rú):Discuz!,DedeCMS,ECshop等),請将程序升級至最新版本。 過濾用戶輸入的(de)數據。默認情況下,應當認為(wèi)用戶的(de)所有(yǒu)輸入都是不安全的(de)。 在網頁代碼中需要對用戶輸入的(de)數據進行(xíng)嚴格過濾。 部署 Web 應用防火牆。對數據庫操作進行(xíng)監控。