处理SQL注入攻击

Question

报告SQL注入攻击时，事件处理程序应该执行什么（或）？

1. 初步回复
2. 分析
3. 动作

旨在为自己和我的团队制定程序指南。 简短或细节，任何事情都会有所帮助。

Answer 1

不是一个完整的过程，但它应该让你开始：

• 初步回复

  • 验证报告的漏洞是否合法，最好是以生产安全的方式
  • 有关如何执行此操作的详细信息，请参阅OWASP SQL Injection Testing guide

• 分析

  • 确定SQL注入的原因
  • 这可能是用户输入直接连接到SQL查询的位置

• 动作

  • 针对SQL注入的最佳防御是在根据用户输入构建查询时使用parameterized/prepared statements而不是直接字符串连接。
  • 这些陈述明确区分数据和语法，因此用户输入永远不会被视为SQL语法，而是被视为数据
  • 如何执行此操作取决于应用程序中使用的语言和框架
  • 有关阻止SQL注入的详细信息，请参阅OWASP SQL Injection Prevention Cheat Sheet