漏洞描述:
1、SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。
2、SQL注入攻击就其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者在编程过程中的漏洞,“当攻击者能够操作数据,向应用程序中插入一些SQL语句时,SQL注入攻击就发生了”。实际上,SQL注入攻击是攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。SQL注入漏洞是目前互联网最常见也是影响非常广泛的漏洞。
漏洞危害:
1、网页被篡改。
2、数据被篡改。
3、核心数据被窃取。
4、数据库所在服务器被攻击变成傀儡主机。
修复方案:
若使用的是第三方CMS程序(如:discuz,dedecms,ecshop等),请将程序升级至最新版即可修复漏洞。
建议过滤用户输入的数据,切记用户的所有输入都要认为是不安全的。
方案一:
1、在网页代码中需要对用户输入的数据进行严格过滤。
2、部署Web应用防火墙
3、对数据库操作进行监控
方案二:
使用开源的漏洞修复插件( 需要站长懂得编程并且能够修改服务器代码 )。
具体可以参考: http://bbs.aliyun.com/read.php?spm=0.0.0.0.gzCYm2&tid=137391
功能说明:
可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。
使用方法:
将waf.php传到要包含的文件的目录
在页面中加入防护,有两种做法,根据情况二选一即可:
a).在所需要防护的页面加入代码就可以做到页面防注入、跨站
require_once('waf.php');
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php,来调用本代码。常用php系统添加文件
引用
PHPCMS V9 \phpcms\base.php
PHPWIND8.7 \data\sql_config.php
DEDECMS5.7 \data\common.inc.php
DiscuzX2 \config\config_global.php
Wordpress \wp-config.php
Metinfo \include\head.php
b).在每个文件最前加上代码具体做法是:在php.ini中找到 auto_prepent_file并修改为:
Automatically add files before or after any PHP document;
auto_prepend_file = waf.php路径;
下载地址:
-
php代码补丁 php_patch.zip
-
asp代码补丁 asp.zip
本文出自:https://bbs.aliyun.com/read.php?spm=5176.775974981.0.0.hWrn9F&tid=137391
本文转自奔跑在路上博客51CTO博客,原文链接http://blog.51cto.com/qiangsh/1771669如需转载请自行联系原作者
qianghong000