截斷注入是什么

截斷注入就是常說的SQL注入攻擊，簡稱注入攻擊，是發生于應用程序之間數據庫層的安全漏洞，以此來實現欺騙數據庫服務器執行非授權的任意查詢，從而進一步得到相應的數據信息。簡而言之，是在輸入的字符串之中注入SQL指令，在設計不良的程序之中忽略了檢查，那么這些注入進去的指令就會被數據庫服務器誤認為是正常的SQL指令而運行，因此遭到破壞。

防御截斷注入的方法如下：

• 不要使用動態SQL

  避免將用戶提供的輸入直接放入SQL語句中；最好使用準備好的語句和參數化查詢，這樣更安全。

• 不要將敏感數據保留在純文本中

  加密存儲在數據庫中的私有/機密數據；這樣可以提供了另一級保護，以防攻擊者成功地排出敏感數據。

• 限制數據庫權限和特權

  將數據庫用戶的功能設置為最低要求；這將限制攻擊者在設法獲取訪問權限時可以執行的操作。

• 避免直接向用戶顯示數據庫錯誤

  攻擊者可以使用這些錯誤消息來獲取有關數據庫的信息。

• 使用Web應用程序防火墻（WAF）

  這為面向Web的應用程序提供了保護，它可以幫助識別SQL注入嘗試；根據設置，它還可以幫助防止SQL注入嘗試到達應用程序（以及數據庫）。

• 定期測試與數據庫交互的Web應用程序

  這樣做可以幫助捕獲可能允許SQL注入的新錯誤或回歸。

• 將數據庫更新為最新的可用修補程序

  這可以防止攻擊者利用舊版本中存在的已知弱點/錯誤。

回答所涉及的環境：聯想天逸510S、Windows 10。