1.开启php的魔术模式
magic_quotes_gpc = on 即可,当一些特殊字符出现在网站前端的时候,就会自动进行转化,转化成一些其他符号导致sql语句无法执行。
2.网站代码里写入过滤sql特殊字符的代码
对一些特殊字符进行转化,比如单引号,逗号,*,(括号)AND 1=1 、反斜杠、select union等查询的sql语句都进行安全过滤,限制这些字符的输入,禁止提交到后端中去。
3.开启网站防火墙
IIS防火墙,apache防火墙,nginx防火墙,都有内置的过滤sql注入的参数,当用户输入参数get、post、cookies方式提交过来的都会提前检测拦截,也可以向国内专业做网站安全的公司去咨询。
4.输入验证
输入验证是指要验证所有应用程序接收到的输入是否合法。有两中不同类型的输入验证方法:白名单和黑名单验证。白名单验证:比如id值,那么我们判断它是否为数字。黑名单验证:使用正则表达式禁止使用某些字符和字符串。应该尽量使用白名单,对于无法使用白名单的,使用黑名单提供局部限制。
此外,我们除了要验证应用程序收到的输入以外,还要对数据进行编码,这样不仅可以防御SQL注入攻击,还能防止出现其他问题,比如XSS。专业防范sql注入攻击的服务可选择西部数码ddos高防。
西部数码DDoS高防体系,能帮助用户抵御攻击流量,最高500G的DDoS清洗能力,保证业务的正常运行。可以完美防御多种攻击类型,产品链接 https://www.west.cn/cloudhost/ddos.asp
