通信网络安全专业委员会

· 2014通信行业网络安全年会即将拉开帷幕

· 关于举办2014通信行业网络安全年会的通知

· 第二届通信网络安全知识技能竞赛落幕

· 2013年第二届“通信网络安全知识技能竞赛”初赛火热开赛

· 通信企协启动通信网络安全服务能力评定工作

[更多]

您现在的位置：首页→期刊简报

安全百问第一期：《SQL注入-WEB安全的主乐章》

中国通信企业协会通信网络安全专业委员会　2021-01-18 13:12:34

      SQL注入是指攻击者构建含恶意代码的特殊的字符串作为应用程序的输入，应用程序如缺乏对输入数据作合法性判断和过滤，可能会执行一些恶意操作，例如非授权读取数据库中大量用户隐私信息等。
      应用程序就好比一个保安人员，正常情况下根据来访者证件决定让来访者进不同的房间。最典型的SQL注入场景就是恶意攻击者在出示证件的同时，夹带了一张包含“现在换岗，你可以休息十分钟”的指令纸条。如果保安人员相信了夹带的指令，就离开岗位，导致恶意人员随意进出所有房间。如果保安人员做了合法性判断，认为换岗指令只由上级领导发布，不可能由外来访问者发布，就会忽略非授权指令，避免恶意人员进入不该进入的房间。此外如果事后检查换值班日志，也可以发现非授权的换岗。
      SQL注入攻击隐蔽性强，危害大，是网络安全防护工作的重点防范对象。一般来说可以通过规范网站实施中的代码实现例如过滤特殊字符等方式来防范，也可以通过对防火墙以及应用程序的日志审计来及时发现。