SQL注入漏洞的解決方案:
1、將所有用戶輸入的數(shù)據(jù)嚴(yán)格檢查,對數(shù)據(jù)庫配置使用最小權(quán)限原則;
2、所有的查詢語句使用數(shù)據(jù)庫提供的參數(shù)化查詢接口,參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中;
3、對能進(jìn)入到數(shù)據(jù)庫特殊字符進(jìn)行轉(zhuǎn)義處理,或編碼轉(zhuǎn)換;
4、數(shù)據(jù)長度的規(guī)定,防止較長的SQL注入語句無法正確執(zhí)行;
5、網(wǎng)站數(shù)據(jù)層的編碼統(tǒng)一,全部使用UTF-8編碼,上下層編碼不一致會(huì)導(dǎo)致過濾模型被繞過;
6、確認(rèn)每種數(shù)據(jù)的類型,例如:數(shù)字型的數(shù)據(jù)規(guī)定用數(shù)字;
7、避免網(wǎng)站顯示SQL錯(cuò)誤信息,例如:類型錯(cuò)誤、字段不匹配等;
8、嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限;
閱讀本文的人還可以閱讀:
