1、使用安全的API,所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中,当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常
有效的防止SQL注入攻击
2、清晰编程规范,预编译好SQL语句,Python和PHP中一般使用? 作为占位符,这种方法是从编程框架方面解决
利用占位符参数的SQL注入,只能说一定程度上防止注入,还有缓存溢出、终止字符等
3、对客户端输入进行白名单规范输入验证,尽量不允许输入SQL注入相关的特殊字符
4、对进入数据库的特殊字符(’”<>&*;等)进行过滤、转义、替换、删除、编码等
5、确认数据的类型
6、限制数据长度,能在一定程度上防止比较长的SQL注入语句无法正确执行
7、网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过
8、严格限制网站用户的数据库操作权限,给此用户提供仅仅能够满足其工作的权限
9、关闭SQL错误信息回显
10、数据库信息加密安全,不采用md5因为有彩虹表,一般是一次md5后加盐再md5
11、加WAF
发布者:admin,如若转载,请注明出处:https://ai1024.vip/38064.html
admin 
