>  기사  >  데이터 베이스  >  mysql에서 SQL 주입을 방지하는 방법

mysql에서 SQL 주입을 방지하는 방법

(*-*)浩
(*-*)浩원래의
2019-05-09 11:51:309312검색

SQL 주입을 방지하는 Mysql 방법: 1. 일반 사용자와 시스템 관리자의 권한을 엄격하게 분리해야 합니다. 2. 사용자가 매개변수화된 명령문을 사용하도록 합니다. 3. SQL Server 데이터베이스와 함께 제공되는 보안 매개변수를 사용해 보세요. 4. 사용자 입력의 유효성을 검사합니다.

mysql에서 SQL 주입을 방지하는 방법

SQL 주입 공격은 매우 해롭습니다. 공격자는 이를 사용하여 데이터베이스의 데이터를 읽거나 수정하거나 삭제할 수 있으며 데이터베이스의 사용자 이름 및 비밀번호와 같은 민감한 정보를 얻을 수 있으며 심지어 데이터베이스 관리자의 권한도 얻을 수 있습니다. . SQL Server 확장 저장 프로시저와 사용자 지정 확장 저장 프로시저를 재사용하여 일부 시스템 명령을 실행할 수 있는 경우 공격자는 시스템을 제어할 수도 있습니다.

(추천 튜토리얼: mysql 동영상 튜토리얼)

그리고 SQL 인젝션도 예방하기 어렵습니다. 웹사이트 관리자는 시스템 패치를 설치하거나 단순 보안 설정만으로는 스스로를 보호할 수 없으며, 일반 방화벽으로는 SQL 인젝션 공격을 차단할 수 없습니다.

mysql은 어떻게 sql 주입을 방지하나요?

1. 일반 사용자와 시스템 관리자 사용자의 권한은 엄격하게 구분되어야 합니다.

일반 사용자가 쿼리문에 다른 Drop Table 문을 삽입한 경우에도 실행이 가능한가요?

Drop 문은 데이터베이스의 기본 개체와 관련되어 있으므로 해당 사용자가 이 문을 조작하려면 해당 권한이 있어야 합니다. . 권한 설계에서는 최종 사용자, 즉 응용 소프트웨어 사용자에게 데이터베이스 개체를 생성하고 삭제할 수 있는 권한을 부여할 필요가 없습니다.

따라서 사용하는 SQL 문에 악성 코드가 포함되어 있어도 사용자 권한 제한으로 인해 해당 코드는 실행되지 않습니다.

2. 매개변수화된 문을 강제로 사용합니다.

SQL 문을 작성할 때 사용자가 입력한 변수가 SQL 문에 직접 포함되지 않는 경우입니다. 이 변수를 매개변수를 통해 전달하면 SQL 주입 공격을 효과적으로 방지할 수 있습니다.

즉, 사용자 입력이 SQL 문에 직접 포함되어서는 안 됩니다. 대조적으로, 사용자 입력은 필터링되어야 하거나 매개변수화된 명령문을 사용하여 사용자 입력 변수를 전달해야 합니다. 매개변수화된 문은 사용자 입력 변수를 SQL 문에 포함하는 대신 매개변수를 사용합니다. 이 조치를 사용하면

는 대부분의 SQL 주입 공격을 제거할 수 있습니다. 불행하게도 매개변수화된 문을 지원하는 데이터베이스 엔진은 많지 않습니다. 그러나 데이터베이스 엔지니어는 제품을 개발할 때 매개변수화된 문을 사용하도록 노력해야 합니다.

3. SQL Server 데이터베이스와 함께 제공되는 보안 매개변수를 더 많이 활용하세요.

SQL Server 데이터베이스에 대한 주입 공격의 부정적인 영향을 줄이기 위해 SQL Server 데이터베이스에는 상대적으로 안전한 SQL 매개 변수가 특별히 설계되었습니다. 데이터베이스 설계 과정에서 엔지니어는 이러한 매개변수를 사용하여 악의적인 SQL 주입 공격을 방지해야 합니다.

SQL Server 데이터베이스에 매개변수 컬렉션이 제공되는 경우. 이 컬렉션은 유형 검사 및 길이 유효성 검사 기능을 제공합니다. 관리자가 매개변수 컬렉션을 사용하는 경우 사용자 입력은 실행 코드가 아닌 문자 값으로 처리됩니다. 사용자 입력에 실행 가능한 코드가 포함되어 있어도 데이터베이스는 이를 필터링합니다. 현재 데이터베이스에서는 이를 일반 문자로만 처리하기 때문입니다. 매개변수 컬렉션을 사용하는 또 다른 이점은 유형 및 길이 검사를 시행할 수 있으며 범위를 벗어나는 값은 예외를 트리거한다는 것입니다.

사용자가 입력한 값이 지정된 유형 및 길이 제한을 따르지 않는 경우 예외가 발생하여 관리자에게 보고됩니다. 예를 들어 위의 경우 사원번호로 정의된 데이터 타입이 문자열 타입이라면 길이는 10자이다. 사용자가 입력한 내용도 문자형 데이터이지만 그 길이는 20자에 이른다. 이때 사용자 입력 길이가 데이터베이스 필드 길이 제한을 초과하므로 예외가 발생합니다.

4. 사용자 입력 검증을 강화합니다.

일반적으로 SQL 주입 공격을 방지하는 방법에는 두 가지가 있습니다.

하나는 사용자 입력 내용에 대한 검사 및 검증을 강화하는 것이고, 두 번째는 매개변수화된 명령문을 사용하여 사용자 입력 내용을 강제로 전달하는 것입니다.

SQLServer 데이터베이스에는 관리자가 SQL 주입 공격에 대처하는 데 도움이 될 수 있는 사용자 입력 내용 확인 도구가 많이 있습니다. 문자열 변수의 내용을 테스트하고 필요한 값만 허용합니다. 바이너리 데이터, 이스케이프 시퀀스 및 주석 문자가 포함된 입력을 거부합니다. 이는 스크립트 삽입을 방지하고 특정 버퍼 오버플로 공격을 방지하는 데 도움이 됩니다. 크기와 데이터 유형에 대한 사용자 입력을 테스트하고 적절한 제한과 변환을 적용합니다. 이는 의도적인 버퍼 오버플로를 방지하는 데 도움이 되며 주입 공격을 방지하는 데 상당한 효과가 있습니다.

저장 프로시저를 사용하여 사용자 입력을 확인할 수 있는 경우. 저장 프로시저를 사용하여 일부 특수 기호 거부와 같은 사용자 입력 변수를 필터링할 수 있습니다. 예를 들어, 위의 악성 코드에서 저장 프로시저가 세미콜론을 필터링하는 한 악성 코드는 쓸모가 없습니다.

SQL 문을 실행하기 전에 데이터베이스의 저장 프로시저를 사용하여 일부 특수 기호를 거부할 수 있습니다. 데이터베이스 애플리케이션에 영향을 주지 않고 데이터베이스는 다음 문자가 포함된 입력을 거부하도록 허용해야 합니다. SQL 주입 공격의 주요 공범인 세미콜론 구분 기호 등이 있습니다. 주석 구분 기호와 같은. 주석은 데이터 디자인 중에만 사용됩니다. 일반적으로 사용자의 쿼리문에는 필요한 설명 내용이 없으므로 사용자가 직접 거부할 수 있지만 정상적인 상황에서는 예상치 못한 손실이 발생하지 않습니다. 이러한 특수 기호가 거부되면 SQL 문에 악성 코드가 포함되어 있어도 아무 작업도 수행하지 않습니다.

따라서 항상 사용자 입력을 확인하고 유형, 길이, 형식 및 범위를 테스트하여 사용자 입력을 필터링하세요. 이는 SQL 주입 공격을 방지하기 위한 일반적이고 효과적인 방법입니다.

다층 환경에서 SQL 주입 공격을 방지하는 방법은 무엇입니까?

다중 애플리케이션 환경에서는 사용자가 입력한 모든 데이터를 검증해야 신뢰할 수 있는 영역에 들어갈 수 있습니다.

검증 프로세스에 실패한 데이터는 데이터베이스에서 거부되고 오류 메시지가 상위 계층으로 반환됩니다. 다계층 검증을 구현합니다. 목적이 없는 악의적인 사용자에 대해 취한 예방 조치는 결심한 공격자에게는 효과적이지 않을 수 있습니다.

더 나은 방법은 사용자 인터페이스와 신뢰 경계를 넘어 모든 후속 지점에서 입력을 검증하는 것입니다. 예를 들어 클라이언트 애플리케이션에서 데이터의 유효성을 검사하면 간단한 스크립트 삽입을 방지할 수 있습니다.

그러나 다음 레이어에서 입력이 검증되었다고 생각하면 클라이언트를 우회할 수 있는 악의적인 사용자는 시스템에 무제한으로 액세스할 수 있습니다. 따라서 다계층 애플리케이션 환경에서는 주입 공격을 방지할 때 모든 계층이 함께 협력해야 하며, SQL 문 주입 공격을 방지하려면 클라이언트와 데이터베이스 측에서 해당 조치를 취해야 합니다.

위 내용은 mysql에서 SQL 주입을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.