如何实现数据库的Sql注入的一点想法
编程技术 / houtizong 发布于 3年前 92
Sql注入攻击是一种比较常用的攻击手段,通常我们比较难以界定,所以,做防控也是比较困难的,开发的时候,需要考虑代码被Sql注入的可能,业界通用的做法是配置黑白名单或者规则库,这是一种解决方案,然而这种解决方案对于使用起来成本还是挺高的,特别对于不是特别懂的人难于配置。
我想,这样一种思路:一个系统内的Sql语句的数量是有限的,那么我们可以把所有的SQl都收集起来,形成白名单,这样一来就形成了一个完整的规则库,凡是没在这个库里面的语句我们都任务是攻击语句。
利用Oracle的VPD技术可以实现对Sql执行前的拦截和替换,那么我们根据这一点,是否可以实现Sql语句的注入检测呢?理论上应该可行,不过我没有验证过,难点是性能的开销问题。
在Application层面,则可以通过实现自定义JDBC驱动,通过动态代理来对Sql语句进行过滤,利用上面的思路,则理论上也可以实现Sql注入的攻击防御与告警,同样的,也是性能问题需要特别注意。
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成
网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];
文章归档
文章标签
友情链接
