近年來，重大網(wǎng)絡(luò)安全事故頻發(fā)，網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，網(wǎng)絡(luò)攻擊方式呈現(xiàn)多樣化、復(fù)雜化，諸如DDOS攻擊、網(wǎng)站掛馬、跨站點(diǎn)腳本攻擊、SQL注入式攻擊等，其中SQL注入攻擊最為常見，也最具危害。雖然這種攻擊形式已出現(xiàn)十年之久，但仍是網(wǎng)站安全運(yùn)營(yíng)最大的安全威脅，有調(diào)查顯示，防御SQL注入攻擊仍然是中小企業(yè)和擁有web應(yīng)用程序的企業(yè)最重要的工作。

關(guān)于SQL注入攻擊

SQL注入攻擊是黑客攻擊數(shù)據(jù)庫(kù)最常見手段之一。簡(jiǎn)單講，SQL注入攻擊是黑客利用網(wǎng)站程序漏洞，通過提交精心構(gòu)造的SQL語(yǔ)句，以達(dá)到竊取數(shù)據(jù)庫(kù)信息，或者修改破壞數(shù)據(jù)庫(kù)目的的攻擊行為。SQL注入攻擊方式非常隱蔽，不容易被察覺，攻擊成功所導(dǎo)致的后果嚴(yán)重，所以對(duì)網(wǎng)絡(luò)安全危害巨大。

所謂“知己知彼，方能百戰(zhàn)不殆”對(duì)于如何應(yīng)對(duì)SQL攻擊，我們首先了解下SQL有哪些種類：

1.沒有正確過濾轉(zhuǎn)義字符：在用戶的輸入沒有為轉(zhuǎn)義字符過濾時(shí)，就會(huì)發(fā)生這種形式的注入式攻擊，它會(huì)被傳遞給一個(gè)SQL語(yǔ)句。

2.Incorrect type handling：如果一個(gè)用戶提供的字段并非一個(gè)強(qiáng)類型，或者沒有實(shí)施類型強(qiáng)制，就會(huì)發(fā)生這種形式的攻擊。比如：使用的是某數(shù)字字段，但程序員沒有檢查用戶輸入的合法性（是否為數(shù)字型）就會(huì)發(fā)生這種攻擊。

3.盲目SQL注入式攻擊：當(dāng)一個(gè)Web應(yīng)用程序易于遭受攻擊而其結(jié)果對(duì)攻擊者卻不見時(shí)，就會(huì)發(fā)生所謂的盲目SQL注入式攻擊。

除上面所示的種類外，SQL注入攻擊還有數(shù)據(jù)庫(kù)服務(wù)器中的漏洞、時(shí)間延誤、條件響應(yīng)、條件性差錯(cuò)等內(nèi)容。

SQL注入通過網(wǎng)頁(yè)對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行修改，能直接在數(shù)據(jù)庫(kù)中添加具有管理員權(quán)限的用戶，從而最終獲得系統(tǒng)管理員權(quán)限。黑客可以利用獲得的管理員權(quán)限任意獲得網(wǎng)站上的文件或者在網(wǎng)頁(yè)上加掛木馬和各種惡意程序，對(duì)網(wǎng)站和訪問該網(wǎng)站的網(wǎng)友都帶來巨大危害。

如何防御SQL注入攻擊 網(wǎng)站安全狗來幫忙

SQL注入式攻擊一直如幽靈般困擾著眾多網(wǎng)站管理員，成為他們揮之不去的夢(mèng)魘。如何有效應(yīng)對(duì)SQL注入攻擊，減少因?yàn)镾QL注入攻擊導(dǎo)致的損失，成為網(wǎng)站管理員最迫切關(guān)心的問題。在此，小編介紹一款非常實(shí)用，有效的SQL注入防護(hù)工具，希望能夠幫助正備受SQL注入攻擊折磨的網(wǎng)站管理員們。

網(wǎng)站安全狗（www.safedog.cn）是集網(wǎng)站內(nèi)容安全防護(hù)、網(wǎng)站資源保護(hù)及網(wǎng)站流量保護(hù)功能為一體的服務(wù)器工具。它的SQL注入主動(dòng)防御功能，通過主動(dòng)防護(hù)方式，能夠?qū)崿F(xiàn)實(shí)時(shí)、有效的SQL注入防護(hù)，同時(shí)用戶可以根據(jù)自身的需要，設(shè)置個(gè)性化的防護(hù)規(guī)則，實(shí)現(xiàn)多層次，多維度的SQL注入防護(hù)。

網(wǎng)站安全狗SQL防護(hù)功能主要包括3點(diǎn)，分別是檢測(cè)URL長(zhǎng)度功能，檢測(cè)URL非法功能和注入的防護(hù)規(guī)則。

1. 檢測(cè)URL長(zhǎng)度功能

很多人可能還不知道過長(zhǎng)的URL到底有什么危害？在網(wǎng)絡(luò)上有人測(cè)試URL過長(zhǎng)確實(shí)是會(huì)影響流量的，URL長(zhǎng)度會(huì)影響誰(shuí)的流量？普通情況下影響網(wǎng)站入口帶寬的流量。如果網(wǎng)頁(yè)代碼里的超連接寫的是長(zhǎng)URL，導(dǎo)致網(wǎng)頁(yè)內(nèi)容變大，那么就嚴(yán)重影響了網(wǎng)站出口帶寬的流量。網(wǎng)站安全狗設(shè)置有URL長(zhǎng)度上限值并且將這個(gè)上限值設(shè)為通用指標(biāo)來檢測(cè)URL長(zhǎng)度，當(dāng)然這個(gè)上限值用戶是可以自己設(shè)定的，在這里設(shè)置URL長(zhǎng)度為50字節(jié)，并且訪問一個(gè)超長(zhǎng)的鏈接進(jìn)行測(cè)試，具體設(shè)置和測(cè)試結(jié)果。如下圖：

2.攔截非法的URL

有些用戶在程序上設(shè)置上傳文件的后綴要求，但是網(wǎng)站還是被頻繁注入，注入的后綴形式都是以xxx.asp；。jpg這種形式出現(xiàn)，網(wǎng)站安全狗也專門對(duì)這種后綴漏洞進(jìn)行了攔截，例如：在我們的測(cè)試網(wǎng)站空間內(nèi)，網(wǎng)站程序上設(shè)置了上傳文件后綴必須為。jpg文件，上傳134.asp；。jpg這個(gè)木馬文件到網(wǎng)站空間上，發(fā)現(xiàn)網(wǎng)站并不會(huì)對(duì)這種文件進(jìn)行限制，而黑客就可以通過這個(gè)木馬文件獲取到用戶的FTP密碼甚至是服務(wù)器密碼。而開啟網(wǎng)站安全狗的“啟用非法URL功能”就可以針對(duì)這種情況進(jìn)行攔截，具體設(shè)置和攔截情況。如下圖：

3.SQL注入防護(hù)規(guī)則的設(shè)置

網(wǎng)站安全狗的設(shè)計(jì)是根據(jù)攻擊特征庫(kù)，對(duì)用戶輸入進(jìn)行過濾，從而達(dá)到防護(hù)SQL注入的目的。用戶可根據(jù)常用的注入設(shè)定防護(hù)規(guī)則，也可以根據(jù)實(shí)際需要對(duì)過濾規(guī)則進(jìn)行新增、修改、刪除。     用戶可以通過“新增”加入新的規(guī)則守護(hù)，并且可以在“新增”設(shè)置規(guī)則中需要檢測(cè)的項(xiàng)目。同時(shí)當(dāng)用戶發(fā)現(xiàn)規(guī)則有誤，或者無(wú)用的規(guī)則時(shí)也可以通過界面上的“修改”和“刪除”進(jìn)行設(shè)置。如圖：

當(dāng)網(wǎng)站安全狗發(fā)現(xiàn)SQL注入攻擊時(shí)，防火墻會(huì)自動(dòng)返回告警界面，提示攻擊者本服務(wù)器已受到保護(hù)，用戶可以自己設(shè)置返回的文字說明內(nèi)容，如下圖：

同時(shí)，用戶可以通過網(wǎng)站安全狗的防護(hù)日志，查看到完整的防護(hù)信息，包括攻擊者的IP、完整的URL、注入時(shí)間等信息。網(wǎng)站工作者對(duì)完整URL進(jìn)行查詢，如果數(shù)據(jù)庫(kù)被入侵，那么這個(gè)URL鏈接就能顯示被入侵的內(nèi)容，攔截黑客的SQL注入請(qǐng)求。

服務(wù)器管理員，網(wǎng)站管理員與攻擊者的戰(zhàn)爭(zhēng)永遠(yuǎn)不會(huì)停歇，即使我們擁有再好的防護(hù)手段，防護(hù)工具，都無(wú)法做到絕對(duì)的安全。因?yàn)榫W(wǎng)絡(luò)安全本質(zhì)上是一個(gè)動(dòng)態(tài)的過程，所以為避免因?yàn)楦黝惞�擊所帶來的損害，服務(wù)器管理員、網(wǎng)站管理員，都要經(jīng)常性的對(duì)服務(wù)器及網(wǎng)站進(jìn)行安全檢測(cè)，更新系統(tǒng)漏洞，升級(jí)防護(hù)工具，定期管理防護(hù)工具，以保證服務(wù)器及網(wǎng)站安全。