漏洞描述
SQL 注入攻擊指攻擊者通(tōng)過欺騙數據庫服務器(qì),來執行未授權的任意查詢。SQL 注入攻擊借助 SQL 語法,針對應用程序開(kāi)發者在編程過程中的缺陷或不嚴謹代碼,當攻擊者能(néng)夠操作數據,向應用程序中插入一(yī)些 SQL 語句時,SQL 注入攻擊就(jiù)發生(shēng)了。通(tōng)常情況下(xià),攻擊者會(huì)在應用程序中預先定義好的查詢語句結尾加上(shàng)額外的 SQL 語句元素,來實現 SQL 注入攻擊。
修複建議
若您使用的是第三方 CMS程序(如:Discuz!,DedeCMS,ECshop等),請将程序升級至最新版本。 過濾用戶輸入的數據。默認情況下(xià),應當認為(wèi)用戶的所有輸入都是不安全的。 在網頁代碼中需要對用戶輸入的數據進行嚴格過濾。 部署 Web 應用防火牆。對數據庫操作進行監控。