Mysql 更改表名以避免SQL注入攻击
我了解SQL注入攻击的基本过程。我的问题与SQL注入预防有关。我被告知,防止此类攻击的一种方法是频繁更改表名!可能吗Mysql 更改表名以避免SQL注入攻击,mysql,sql,database,sql-injection,Mysql,Sql,Database,Sql Injection,我了解SQL注入攻击的基本过程。我的问题与SQL注入预防有关。我被告知,防止此类攻击的一种方法是频繁更改表名!可能吗 如果是这样的话,有人能给我提供一个链接,让我更多地了解它,因为我在网上找不到关于它的解释。没有。这毫无意义。您要么必须更改引用该表的每一行代码,要么必须保留类似于视图的内容,该视图具有与旧表完全相同的旧表名。没有一个通情达理的人会那样做。另外,这并不是说有很多合理的表格名称,所以你会做一些疯狂的事情,比如说表格a存储客户数据,AA存储雇主数据,AAA是客户和雇主之间的交集 SQL
如果是这样的话,有人能给我提供一个链接,让我更多地了解它,因为我在网上找不到关于它的解释。没有。这毫无意义。您要么必须更改引用该表的每一行代码,要么必须保留类似于视图的内容,该视图具有与旧表完全相同的旧表名。没有一个通情达理的人会那样做。另外,这并不是说有很多合理的表格名称,所以你会做一些疯狂的事情,比如说表格
aAAAAASQL注入几乎很容易防止。将准备好的语句与绑定变量一起使用。不要动态生成SQL语句。完成。当然,在现实中,确保新开发人员不违反这条格言,或者因为他们不知道更好的东西,或者因为如果他们只做一点字符串连接,他们可以在更短的时间内完成一些事情,这会使事情变得更复杂。但是基本方法非常简单。Pffft。什么?频繁更改表名 就“防止SQL注入”而言,这是错误的建议 SQL注入漏洞的唯一预防措施是编写不易受攻击的代码。在绝大多数情况下,这是很容易做到的 更改表名不会关闭SQL注入漏洞。它可能使一个成功的攻击向量不可重复,要求攻击者做出一些调整。但它并没有阻止SQL注入
作为研究SQL注入的起点,我推荐OWASP(开放式Web应用程序安全项目) 从这里开始:
如果您遇到“更改表名”作为缓解措施,请告诉我。我从来没有遇到过将其作为SQL注入漏洞的预防或缓解措施。以下是可以防止SQL注入的措施: 使用ORM封装SQL调用,并为数据库记录提供友好的层。其中大多数都非常擅长编写高质量的查询,并且仅仅因为您如何使用它们就可以保护您免受注入错误的影响 尽可能将准备好的语句与占位符值一起使用。编写如下查询:
INSERT INTO table_name (name, age) VALUES (:name, :age)
scrubclean$value = $db->escaped(value);
$db->query("INSERT INTO table (value) VALUES ('$value')");
$value_escaped = $db->escaped(value);
$db->query("INSERT INTO table (value) VALUES ('$value_escaped')");
随机更改表名可以修复任何问题,这表明人们对SQL注入错误的形式缺乏了解。知道表名是一件很好的事情,它使攻击者的生活更轻松,但许多攻击不需要知道这一点。一种常见的攻击是通过在
条件中插入附加子句来强制以管理员身份登录,其中