几年前,网站中大多数都存在sql注入。sql注入在这几年可以说已经被广大网站管理者所认知,并在搭建网站的时候都能注意到网站防注入这一问题,但为什么我们EeSafe现在收录的网站中,还是有很大一部分存在sql注入问题?我想并不是由于网站站长不知道sql注入的危害(危害我这里就不说了,大家可以去百度等搜索引擎上查找),而是由于网站对于像sql注入这样的问题的防范和发掘不够深造成的,这里我把防范sql的黄金方法和大家交流一下,应该能够在网站防止安全漏洞的方面起到推波助澜的作用,至于如何发掘,我会在后篇提及。 http://www.zzpeixun.org/ # e' z# \, C$ o. [* Y5 Y 能够防范sql注入的好方法(注意,我这里说的是“防范”)只有一个,那就是强化网站开发过程中的安全流程,有人说上硬件,那我要问上什么硬件?防火墙?DDOS防攻击?安全网关?这些基本上都防不住,或者个别的有防注入功能但至于效果怎么样,我就不多说了。我接触的最有效的方法只有一种:加强网站开发过程中的代码编写,安全测试流程。由于负责编写程序的程序员水平和经验参差不齐,绝大多数程序员并没有接受过安全开发培训,所以在网站开发过程中要去进行安全方面的考量是不太现实的,这也就造成了到现在还有那么多网站存在大量的安全隐患的局面,所以不仅是防sql注入,防任何网站安全问题都要从开发流程和方法上着手。 本文转载于:http://www.bnzy120.com# A5 r8 {( S; l" Z6 J1 k' _* s6 W
