您知道17年前首次发现SQL注入攻击吗？它仍然在OWASP十大漏洞列表中名列前茅。这个漏洞是什么？它如何影响您的应用程序？你能为这个做什么？这是帮助您了解此OWASP十大漏洞及其业务影响的指南。如何停止SQL注入？您可以先通过AppTrana免费试用了解您的网站是否存在SQL注入风险。

数据库是一组描述的表，可以从中访问或存储数据。使用数据库的应用程序需要一种媒介来在前端和数据库之间进行通信。这就是SQL发挥作用的地方。结构化查询语言(SQL)是一种用于访问和操作数据库中数据的语言。应用程序可以使用SQL语句与数据库进行通信。使用SQL语句，应用程序可以执行一些标准的SQL命令，例如“SELECT”、“UPDATE”、“INSERT”、“DELETE”、“CREATE”、“DROP”。

大多数Web应用程序使用称为结构化查询语言(SQL)的机器可理解的语言与数据库进行交互。攻击者使用Web应用程序中的输入字段在服务器上运行任意查询（注入）；因此，攻击过程称为SQL注入或SQLi攻击。

常见的SQL注入攻击会导致知识丢失或拒绝访问。多年来，黑客将这些攻击与身份验证不足、DNS劫持、XSS和DDoS相结合，造成严重的经济损失和绝对的主机接管。以下是近年来最著名的一些SQL攻击。

为什么应用程序容易受到SQL注入的攻击？

当未经适当验证的用户输入直接作为SQL查询传递给SQL解释器以进行处理时，应用程序很容易受到SQL注入的攻击。这导致执行用户输入并提供预期的结果。

案例1：应用程序接受用户输入并传入SQL查询

案例2：在用户名参数中添加了单引号。结果，数据库运行以下查询

由于OR1=1，'WHERE子句从表users中返回第一个id。成功执行此SQL命令后，攻击者可以绕过身份验证。

企业上的大规模自动化SQL注入机器人

攻击者使用包括机器人和软件在内的自动化机制扫描数千个网站以寻找SQL注入。一些最常测试的字段是URL和表单。在这里很难停止SQL注入。

审判。他分析漏洞的严重性并渗透到数据库中。

精心设计了一个虚假输入命令，牢记漏洞，然后在该时间段内对其进行测试。如果它授予对数据库的访问权限，攻击者可以诱骗应用程序泄露所有记录。

更致命的攻击者会寻找其他漏洞并同时利用它们来获取非法经济收益和主机控制权。

登录表单是验证用户的最常用方法之一。

验证功能对应的服务器代码为：

现在，黑客只需在任一输入框中输入“或”“=”即可验证SQL。它将为他提供表用户中的所有行。

防止或减轻SQL注入攻击在很大程度上要确保没有一个字段容易受到无效输入和应用程序执行的影响。您无法手动检查网站上的每个页面和每个应用程序，尤其是当更新频繁且用户友好性是重中之重时。尽管如此，安全分析师和经验丰富的开发人员推荐了一些后续要点，以确保您的数据库平方在服务器的限制内得到很好的保护。

很长一段时间以来，自动化Web应用程序扫描器?一直是指出Web应用程序中漏洞的最佳选择。现在，随着SQL注入在利用逻辑缺陷方面变得越来越聪明，网站安全专业人员应该在安全供应商的帮助下探索手动测试。

他们可以根据一组语法、类型和长度规则来验证用户输入。它有助于谨慎地审核应用程序漏洞，以便您可以在黑客利用它之前修补代码。

它更像是一种数据库管理功能，但对特定帐户强制执行特定权限有助于防止盲目SQL注入攻击。从无特权帐户开始，然后转到“只读”、“编辑”、“删除”和类似的特权级别。最小化应用程序的权限将确保通过应用程序进入数据库的攻击者无法未经授权使用特定数据。

动态查询给安全专业人员带来了很多麻烦。他们必须处理每个应用程序中的可变漏洞，这些漏洞只会随着更新和更改而变得更加严重。建议您准备参数化查询。

这些查询简单，易于编写，并且只有在明确定义了SQL代码中的每个参数时才通过。这样，您的信息将配备武器以区分代码和信息输入。

大多数组织都未能解决诸如过时的代码、缺乏测试和更改资源、不了解应用程序安全性以及应用程序频繁更新等问题。对于这些，Web应用程序保护是最好的解决方案。

可以部署托管Web应用程序防火墙以立即缓解此类攻击。它包含自定义策略以阻止任何可疑输入并立即拒绝信息泄露。这样，您就不必在事后手动查找漏洞和修复问题。