企业级网站程序如何避免被结构化查询语言注入,是网站建设公司必须考虑的一个问题,因其涉及网站的诸多安全问题,如果不处理好可能给网站带来严重问题。同时企业网站程序的安全防护方案不仅是一个技术问题,同时也涉及管理等多个维度,对于这个问题,我们给出一些基础的建议以供参考。
相当大一部分开发者在编写代码的时候,没有对访问者输入数据的合法性进行判断,使应用程序存在安全隐患。对于建站新手而言,最容易犯的错误就是结构化查询语言注入漏洞。
一般来讲我们用渗透测试工具NBSI对网站进行扫描,就能发现部分网站存在的结构化查询语言注入漏洞,访问者可以提交一段数据库查询代码,根据程序返回的结果,获得与之对应的数据反馈信息。
企业网站建设怎样防止结构化查询语言注入?
比如网址、字段等信息串提交时,通过一段防止结构化查询语言注入的过滤代码即可防止出错信息暴露,或者通过转向,当系统出错时转到出错页面之类,或是服务器的权限设置也是一个较为常用的方法。
而对于文本类输入,则可以根据字段本身的性质进行判断。
例如年龄填写,就得限定必须是数字,大小也限定在一个范围区间,比如说18-120之间。
对于字段文本,则可以创建集合,里面存放有被允许的字符,或是指定一些字符对其禁止。
这里特别需要说明是关于渗透测试程序的问题。目前,程序对输入数据的检查是在前台通过客户端脚本完成的,这样攻击者很容易就可以绕过检查程序。建议采用前后端结合的方法,既可以保证效率,有可以提高安全性。
上面提及的方法对于目前的网站建设公司而言都较为常用,但是一些开发者并没有特意的关注这些问题,或没有想过通过这些方法去解决问题,在开发网站功能时没有注意到网站的安全方面,结果则是导致一些安全漏洞的出现。我也希望通过此文能够使开发者们能够更加注重网站的安全性,尤其是测试人员能够去发现系统的潜在安全隐患,提高产品质量,这对于企业网站开发项目的甲方而言也是更负责任的做法。
业务咨询
联系邮箱
咨询热线 | 0755-8328-0021
返回顶部