漏洞描述: 

1、SQL注入***就是***者通过欺骗数据库服务器执行非授权的任意查询过程。

2、SQL注入***就其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者在编程过程中的漏洞,“当***者能够操作数据,向应用程序中插入一些SQL语句时,SQL注入***就发生了”。实际上,SQL注入***是***者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。SQL注入漏洞是目前互联网最常见也是影响非常广泛的漏洞。

 

漏洞危害: 

1、网页被篡改。

2、数据被篡改。

3、核心数据被窃取。

4、数据库所在服务器被***变成傀儡主机。

修复方案: 

若使用的是第三方CMS程序(如:discuz,dedecms,ecshop等),请将程序升级至最新版即可修复漏洞。

建议过滤用户输入的数据,切记用户的所有输入都要认为是不安全的。

 

方案一:

1、在网页代码中需要对用户输入的数据进行严格过滤。

2、部署Web应用防火墙

3、对数据库操作进行监控

 

方案二:

使用开源的漏洞修复插件( 需要站长懂得编程并且能够修改服务器代码 )。

具体可以参考: http://bbs.aliyun.com/read.php?spm=0.0.0.0.gzCYm2&tid=137391

功能说明 

可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。

 
使用方法: 

  1. 将waf.php传到要包含的文件的目录

  2. 在页面中加入防护,有两种做法,根据情况二选一即可:

 
a).在所需要防护的页面加入代码就可以做到页面防注入、跨站

  1. require_once('waf.php');

如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php,来调用本代码。常用php系统添加文件

引用

 
PHPCMS V9 \phpcms\base.php 
 
PHPWIND8.7 \data\sql_config.php 
 
DEDECMS5.7 \data\common.inc.php 
 
DiscuzX2   \config\config_global.php 
 
Wordpress   \wp-config.php 
 
Metinfo   \include\head.php

 

 
b).在每个文件最前加上代码具体做法是:在php.ini中找到 auto_prepent_file并修改为: 
  1. Automatically add files before or after any PHP document;

  2. auto_prepend_file = waf.php路径;

 

 
下载地址 


本文出自:https://bbs.aliyun.com/read.php?spm=5176.775974981.0.0.hWrn9F&tid=137391