漏洞描述
SQL 注入攻擊指攻擊者通過欺騙數據庫服務器,來執行未授權的任意查詢。SQL 注入攻擊借助 SQL 語法,針對應用程序開(kāi)發者在編程過程中(zhōng)的缺陷或不嚴謹代碼,當攻擊者能夠操作數據,向應用程序中(zhōng)插入一(yī)些 SQL 語句時,SQL 注入攻擊就發生(shēng)了。通常情況下(xià),攻擊者會在應用程序中(zhōng)預先定義好的查詢語句結尾加上額外(wài)的 SQL 語句元素,來實現 SQL 注入攻擊。
修複建議
若您使用的是第三方 CMS程序(如:Discuz!,DedeCMS,ECshop等),請将程序升級至最新版本。 過濾用戶輸入的數據。默認情況下(xià),應當認爲用戶的所有輸入都是不安全的。 在網頁代碼中(zhōng)需要對用戶輸入的數據進行嚴格過濾。 部署 Web 應用防火(huǒ)牆。對數據庫操作進行監控。