一种通用的彻底解决SQL注入漏洞的编码方法

SQL注入攻击的本质是在字符数据中插入可执行的代码。对字符串进行16进制ASCII编码即可彻底防止在数据中插入任何可执行的代码,从而达到彻底阻止SQL注入攻击的目的。而这种编码能保留字符数据的所有性质,不影响基于该字段的连接、比较、排序等操作。     

一种轻量级的服务端防SQL注入攻击方法

SQL注入攻击是针对基于数据库的网站和信息系统的一种常见攻击。通过非法的输入,攻击者可以绕开验证、非法获取内容甚至篡改系统数据。通常在客户端的验证可以被攻击者用跳过输入界面直接提交非法数据的方法攻击;而服务端的验证又会严重消耗服务器的资源。为了克服上述缺陷,通过对注入语句的分析,提出了一种轻量级的服务端验证方法,用文本挖掘的方法取得最不常见的字符串替换掉输入中的少数字符以阻止SQL注入攻击,同时最小化服务器用于验证输入合法性的资源。