问:怎样在Oracle数据库中防御SQL注入攻击? 答:回答这个问题很简单,但是实施起来会花费应用设计师和DBA的大部分工作。 在过滤输入时整个应用程序都严格把关。除非有特殊情况,否则一些特殊字符就要坚决排除。有些如“—”、“/”和“;”通常被用来修正应用程序可能创建的SQL语句。
一些输入文本里的数字也要过滤掉,防止十六进制值和MD5哈希值输入。最后,输入文本中的SQL集算子(SQL set operators),如UNION或INTERSECT。 另外,你可以通过使用绑定变量(bind variables)减小遭遇SQL注入攻击的可能性。如果我们对绑定变量赋值,而不是将输入用户与……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:怎样在Oracle数据库中防御SQL注入攻击?
答:回答这个问题很简单,但是实施起来会花费应用设计师和DBA的大部分工作。
在过滤输入时整个应用程序都严格把关。除非有特殊情况,否则一些特殊字符就要坚决排除。有些如“—”、“/”和“;”通常被用来修正应用程序可能创建的SQL语句。一些输入文本里的数字也要过滤掉,防止十六进制值和MD5哈希值输入。最后,输入文本中的SQL集算子(SQL set operators),如UNION或INTERSECT。
另外,你可以通过使用绑定变量(bind variables)减小遭遇SQL注入攻击的可能性。如果我们对绑定变量赋值,而不是将输入用户与其他类进行连接,那么那些恶意SQL就不会被执行。除了要防御SQL注入以外,绑定变量在大多数情况下还是性能和可扩展性的关键。
最后,限定函数、程序和应用用户有权限制性的包。实施过程中本着最小权限原则的这一观念。还要限制访问包、不必要地访问应用用户的程序(UTL_FILE, UTL_SMPT, UTL_TCP等)能更进一步减小攻击的可能性或严重程度。
翻译
相关推荐
-
甲骨文自治数据库亮相 带来云计算新希望
早前甲骨文还不在云计算公司之列,而现在该公司正在迅速弥补其失去的时间。甲骨文的云计算核心是甲骨文自治数据库(O […]
-
2017年12月数据库流行度排行榜 定格岁末排名瞬间
数据库知识网站DB-engines最近更新的2017年12月份数据库流行度排名情况是否能提供更多的看点呢?TechTarget数据库网站将与您分享12月份的榜单排名情况,让我们拭目以待。
-
2017年11月数据库流行度排行榜 半数以上数据库积分减少
数据库知识网站DB-engines更新了2016年11月份的数据库流行度排行榜。TechTarget数据库网站将与您一同关注11月份的榜单排名情况。
-
控制合约 不再畏惧Oracle
许多公司都与Oracle有无限制授权协议,他们害怕离开这个协议,所以就证明他们在使用Oracle的软件,即使因为需求单独购买部分授权许可也可能总体是省钱的。