最新网站安全之如何防止sql注入×××

大湖之子

移动互联网的发展势头已经远远超过PC互联网，手机移动端上网，以及持有量远超PC电脑，随着移动大数据、区块链的技术在不断的完善，成熟，日常生活中经常会听到某某网站被×××，网站被黑的新闻报道，再比如一个团购网站被***，导致用户的信息隐私被泄露，多少万的会员数据被盗走，这无意是给网站带来了严重的影响与经济损失。

　　像之前的高考网站被黑，高考完的学生们去查高考分数的这种急迫心情，就这么被×××者给破坏，导致高考成绩不能正常查询，带来了更多心里上的担心与考生的信息可能面临着被泄露，紧接带来的就是一系列的经济诈骗的发生，上面发生的种种情况，都跟我们今天要说的网站安全防护，关于如何更好的防止SQL注入×××？
　　网站被黑的情况，经过我们SINE安全公司多年来的安全维护经验来总结，一般都是由于网站存在漏洞，大多数是跟网站SQL注入漏洞有关，mysql数据库，oracle数据库，sql数据库，都会遭到sql的注入×××，进而导致网站的数据库信息被***，这种×××手段一般会在访问日志以及网站内部的流量统计里发现问题，SQL注入×××的技术在近几年一直在升级变化，×××特征也比较另类，甚至伪装成正常的sql语句来执行×××者的恶意参数。
　　网站的访问，用户打开网站以及登录，各项的网站交互功能使用过程当中，Linux服务器端应该对前端网站用户的访问与GET POST,COOKIES提交的参数进行安全过滤，把正常的sql语句执行到数据库。而×××者是利用sql语句执行的便利条件，掺杂进恶意的sql注入语句执行到数据库中，比如查询网站管理员的账号密码，修改网站会员的提现银行卡，修改网站的支付接口，支付账号，通过数据库篡改注单，修改投注记录、修改会员密码或者会员的认证资料，银行卡等×××症状。总的来说×××者把正常的sql语句转变成恶意的sql注入语句，执行到数据库里并进行读写查询。
　　那么该如何更好的防止网站被sql注入呢？
　　首先我们应该对网站程序代码进行详细的安全检测，与网站漏洞检测，在网站的前端进行多种方式的提交与注入检测，对代码里中与用户交互并与数据库直接传输打交道的代码进行严查，看看是否可以掺杂非法的sql注入代码进去。对GET、POST、COOKIES的提交进行过滤，过滤特殊符号，对一些&*%￥#@/等等的符号，以及转义符号进行严格的过滤与拦截。对前端的网站进行PHP安全函数的变量过滤，网站web端的JS过滤检测是否含有SQL注入的非法参数，比如一些sql注入代码，and 1=1 1=2 select union等查询的语句过滤。
　　字符串的安全过滤，对and以及delete,updata,char,master,chr.exec,mid,declare,or,count等等的字符串在服务器端进行严格拦截，当用户输入过来的值以及数据包中含有以上的字符串，进行拦截并记录到日志里，以防拦截正常的用户交互功能使用。
　　网站前端也可以使用WAF防火墙，使用CDN进行防护sql注入，国内可以使用百度CDN来进行防止sql注入×××。