近年來，重大網(wǎng)絡(luò)安全事故頻發(fā)，網(wǎng)絡(luò)安全形勢日趨嚴峻，網(wǎng)絡(luò)攻擊方式呈現(xiàn)多樣化、復雜化，諸如DDOS攻擊、網(wǎng)站掛馬、跨站點腳本攻擊、SQL注入式攻擊等，其中SQL注入攻擊最為常見，也最具危害。雖然這種攻擊形式已出現(xiàn)十年之久，但仍是網(wǎng)站安全運營最大的安全威脅，有調(diào)查顯示，防御SQL注入攻擊仍然是中小企業(yè)和擁有web應用程序的企業(yè)最重要的工作。

關(guān)于SQL注入攻擊

SQL注入攻擊是黑客攻擊數(shù)據(jù)庫最常見手段之一。簡單講，SQL注入攻擊是黑客利用網(wǎng)站程序漏洞，通過提交精心構(gòu)造的SQL語句，以達到竊取數(shù)據(jù)庫信息，或者修改破壞數(shù)據(jù)庫目的的攻擊行為。SQL注入攻擊方式非常隱蔽，不容易被察覺，攻擊成功所導致的后果嚴重，所以對網(wǎng)絡(luò)安全危害巨大。

所謂“知己知彼，方能百戰(zhàn)不殆”對于如何應對SQL攻擊，我們首先了解下SQL有哪些種類：

1.沒有正確過濾轉(zhuǎn)義字符：在用戶的輸入沒有為轉(zhuǎn)義字符過濾時，就會發(fā)生這種形式的注入式攻擊，它會被傳遞給一個SQL語句。

2.Incorrect type handling：如果一個用戶提供的字段并非一個強類型，或者沒有實施類型強制，就會發(fā)生這種形式的攻擊。比如：使用的是某數(shù)字字段，但程序員沒有檢查用戶輸入的合法性（是否為數(shù)字型）就會發(fā)生這種攻擊。

3.盲目SQL注入式攻擊：當一個Web應用程序易于遭受攻擊而其結(jié)果對攻擊者卻不見時，就會發(fā)生所謂的盲目SQL注入式攻擊。

除上面所示的種類外，SQL注入攻擊還有數(shù)據(jù)庫服務器中的漏洞、時間延誤、條件響應、條件性差錯等內(nèi)容。

SQL注入通過網(wǎng)頁對網(wǎng)站數(shù)據(jù)庫進行修改，能直接在數(shù)據(jù)庫中添加具有管理員權(quán)限的用戶，從而最終獲得系統(tǒng)管理員權(quán)限。黑客可以利用獲得的管理員權(quán)限任意獲得網(wǎng)站上的文件或者在網(wǎng)頁上加掛木馬和各種惡意程序，對網(wǎng)站和訪問該網(wǎng)站的網(wǎng)友都帶來巨大危害。

如何防御SQL注入攻擊 網(wǎng)站安全狗來幫忙

SQL注入式攻擊一直如幽靈般困擾著眾多網(wǎng)站管理員，成為他們揮之不去的夢魘。如何有效應對SQL注入攻擊，減少因為SQL注入攻擊導致的損失，成為網(wǎng)站管理員最迫切關(guān)心的問題。在此，小編介紹一款非常實用，有效的SQL注入防護工具，希望能夠幫助正備受SQL注入攻擊折磨的網(wǎng)站管理員們。

網(wǎng)站安全狗（www.safedog.cn）是集網(wǎng)站內(nèi)容安全防護、網(wǎng)站資源保護及網(wǎng)站流量保護功能為一體的服務器工具。它的SQL注入主動防御功能，通過主動防護方式，能夠?qū)崿F(xiàn)實時、有效的SQL注入防護，同時用戶可以根據(jù)自身的需要，設(shè)置個性化的防護規(guī)則，實現(xiàn)多層次，多維度的SQL注入防護。

網(wǎng)站安全狗SQL防護功能主要包括3點，分別是檢測URL長度功能，檢測URL非法功能和注入的防護規(guī)則。

1. 檢測URL長度功能

很多人可能還不知道過長的URL到底有什么危害？在網(wǎng)絡(luò)上有人測試URL過長確實是會影響流量的，URL長度會影響誰的流量？普通情況下影響網(wǎng)站入口帶寬的流量。如果網(wǎng)頁代碼里的超連接寫的是長URL，導致網(wǎng)頁內(nèi)容變大，那么就嚴重影響了網(wǎng)站出口帶寬的流量。網(wǎng)站安全狗設(shè)置有URL長度上限值并且將這個上限值設(shè)為通用指標來檢測URL長度，當然這個上限值用戶是可以自己設(shè)定的，在這里設(shè)置URL長度為50字節(jié)，并且訪問一個超長的鏈接進行測試，具體設(shè)置和測試結(jié)果。如下圖：

2.攔截非法的URL

有些用戶在程序上設(shè)置上傳文件的后綴要求，但是網(wǎng)站還是被頻繁注入，注入的后綴形式都是以xxx.asp；。jpg這種形式出現(xiàn)，網(wǎng)站安全狗也專門對這種后綴漏洞進行了攔截，例如：在我們的測試網(wǎng)站空間內(nèi)，網(wǎng)站程序上設(shè)置了上傳文件后綴必須為。jpg文件，上傳134.asp；。jpg這個木馬文件到網(wǎng)站空間上，發(fā)現(xiàn)網(wǎng)站并不會對這種文件進行限制，而黑客就可以通過這個木馬文件獲取到用戶的FTP密碼甚至是服務器密碼。而開啟網(wǎng)站安全狗的“啟用非法URL功能”就可以針對這種情況進行攔截，具體設(shè)置和攔截情況。如下圖：

3.SQL注入防護規(guī)則的設(shè)置

網(wǎng)站安全狗的設(shè)計是根據(jù)攻擊特征庫，對用戶輸入進行過濾，從而達到防護SQL注入的目的。用戶可根據(jù)常用的注入設(shè)定防護規(guī)則，也可以根據(jù)實際需要對過濾規(guī)則進行新增、修改、刪除。     用戶可以通過“新增”加入新的規(guī)則守護，并且可以在“新增”設(shè)置規(guī)則中需要檢測的項目。同時當用戶發(fā)現(xiàn)規(guī)則有誤，或者無用的規(guī)則時也可以通過界面上的“修改”和“刪除”進行設(shè)置。如圖：

當網(wǎng)站安全狗發(fā)現(xiàn)SQL注入攻擊時，防火墻會自動返回告警界面，提示攻擊者本服務器已受到保護，用戶可以自己設(shè)置返回的文字說明內(nèi)容，如下圖：

同時，用戶可以通過網(wǎng)站安全狗的防護日志，查看到完整的防護信息，包括攻擊者的IP、完整的URL、注入時間等信息。網(wǎng)站工作者對完整URL進行查詢，如果數(shù)據(jù)庫被入侵，那么這個URL鏈接就能顯示被入侵的內(nèi)容，攔截黑客的SQL注入請求。

服務器管理員，網(wǎng)站管理員與攻擊者的戰(zhàn)爭永遠不會停歇，即使我們擁有再好的防護手段，防護工具，都無法做到絕對的安全。因為網(wǎng)絡(luò)安全本質(zhì)上是一個動態(tài)的過程，所以為避免因為各類攻擊所帶來的損害，服務器管理員、網(wǎng)站管理員，都要經(jīng)常性的對服務器及網(wǎng)站進行安全檢測，更新系統(tǒng)漏洞，升級防護工具，定期管理防護工具，以保證服務器及網(wǎng)站安全。