SQL註入漏洞測試方法

在程序代碼裏不管是get提交,post提交，cookies的方式，都可以有隨意控制參數的一個參數值，通過使用sql註入工具，經典的sqlmap進行檢測與漏洞利用，也可以使用一些國內的SQL代碼註入工具，最簡單的安全測試方法就是利用數據庫的單引號， AND 1=1 AND 1=2等等的字符型註入來進行測試sql註入漏洞。

SQL註入漏洞解剖

在網站的程序代碼裏，有很多用戶需要提交的一些參數值，像get、post的數據提交的時候，有些程序員沒有對其進行詳細的安全過濾，導致可以直接執行SQL語句，在提交的參數裏，可以摻入一些惡意的sql語句命令，比如查詢admin的賬號密碼，查詢數據庫的版本，以及查詢用戶的賬號密碼，執行寫入一句話×××到數據庫配置文件，執行系統命令提權，等等.

SQL註入漏洞修復

在最底層的程序代碼裏，進行sql漏洞修補與防護，在代碼裏添加過濾一些非法的參數，服務器端綁定變量，SQL語句標準化，是防止網站被sql註入×××的最好辦法。Sine安全公司是一家專註於：網站安全、服務器安全、網站安全檢測、網站漏洞修復,×××測試,安全服務於一體的網絡安全服務提供商。

一、程序代碼裏的所有查詢語句，使用標準化的數據庫查詢語句API接口，設定語句的參數進行過濾一些非法的字符，防止用戶輸入惡意的字符傳入到數據庫中執行sql語句。

二、對用戶提交的的參數安全過濾，像一些特殊的字符（，（）*&……%#等等）進行字符轉義操作,以及編碼的安全轉換。

三、網站的代碼層編碼盡量統一，建議使用utf8編碼，如果代碼裏的編碼都不一樣，會導致一些過濾被直接繞過。

四 、網站的數據類型，必須確定，是數字型，就是數字型，字符型就是字符型，數據庫裏的存儲字段類型也設置為ini型。

五 、對用戶的操作權限進行安全限制，普通用戶只給普通權限，管理員後臺的操作權限要放開，盡量減少對數據庫的惡意×××。

六、網站的報錯信息盡量不要返回給客戶端，比如一些字符錯誤，數據庫的報錯信息，盡可能的防止泄露給客戶端。

七、如果對網站程序代碼不熟悉的話建議交給專業做安全的公司專業處理,國內推薦Sinesafe,綠盟,啟蒙星辰。

網站漏洞修復方案防止SQL註入×××漏洞