这不是关于SQL注入预防,这在其他问题中有所涉及。我的问题是:一旦攻击成功,有没有办法在我们寻找并修复漏洞时立即完全阻止攻击?我希望为常规用户保持数据库在线,但防止对其造成损害。
答案 0 :(得分:0)
如果您的应用程序可以处理它,您可以将数据库设置为只读模式 - 我强调IF。
然而,这留下了广泛的信息披露漏洞(例如,如果您加密密码而不是使用强哈希算法+盐,生日日期(信用卡欺诈),电子邮件地址 - 垃圾邮件发送者lov'em)。
真正防止泄漏被利用的唯一方法是使数据库脱机立即,修复错误,然后尽快将其恢复为在线状态。
中间解决方案是备份数据库(在将其设置为只读后),然后使用在线版本的伪造信息更新所有机密信息。
e.g。
UPDATE T_Users SET e_mail = 'undisclosed@undisclosed.com', birthdate = '19000101'