Asp 注入如何預防

ASP注入攻擊的防御措施如下：

• 權限區分：普通用戶與系統管理員用戶的權限要有嚴格的區分。由于Drop語句關系到數據庫的基本對象，故要操作這個語句用戶必須有相關的權限。在權限設計中，對于終端用戶，即應用軟件的使用者，沒有必要給他們數據庫對象的建立、刪除等權限。那么即使在他們使用SQL語句中帶有嵌入式的惡意代碼，由于其用戶權限的限制，這些代碼也將無法被執行。故應用程序在設計的時候，最好把系統管理員的用戶與普通用戶區分開來。如此可以最大限度的減少注入式攻擊對數據庫帶來的危害。

• 使用參數化語句：如果在編寫SQL語句的時候，用戶輸入的變量不是直接嵌入到SQL語句，而是通過參數來傳遞這個變量的話，那么就可以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸入的內容必須進行過濾，或者使用參數化的語句來傳遞用戶輸入的變量。參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中。采用這種措施，可以杜絕大部分的SQL注入式攻擊。

• 對用戶的輸入進行驗證：通過測試類型、長度、格式和范圍來驗證用戶輸入，過濾用戶輸入的內容。這是防止SQL注入式攻擊的常見并且行之有效的措施。防治SQL注入式攻擊可以采用兩種方法，一是加強對用戶輸入內容的檢查與驗證;二是強迫使用參數化語句來傳遞用戶輸入的內容。在SQLServer數據庫中，有比較多的用戶輸入內容驗證工具，可以幫助管理員來對付SQL注入式攻擊。測試字符串變量的內容，只接受所需的值。拒絕包含二進制數據、轉義序列和注釋字符的輸入內容。這有助于防止腳本注入，防止某些緩沖區溢出攻擊。測試用戶輸入內容的大小和數據類型，強制執行適當的限制與轉換。這即有助于防止有意造成的緩沖區溢出，對于防治注入式攻擊有比較明顯的效果。

• 多使用數據庫自帶的安全參數：為了減少注入式攻擊對于SQL Server數據庫的不良影響，在SQLServer數據庫專門設計了相對安全的SQL參數。在數據庫設計過程中，工程師要盡量采用這些參數來杜絕惡意的SQL注入式攻擊。如在SQL Server數據庫中提供了Parameters集合。這個集合提供了類型檢查和長度驗證的功能。如果管理員采用了Parameters這個集合的話，則用戶輸入的內容將被視為字符值而不是可執行代碼。即使用戶輸入的內容中含有可執行代碼，則數據庫也會過濾掉。因為此時數據庫只把它當作普通的字符來處理。

• 多層環境防止SQL注入：在多層應用環境中，用戶輸入的所有數據都應該在驗證之后才能被允許進入到可信區域。未通過驗證過程的數據應被數據庫拒絕，并向上一層返回一個錯誤信息。實現多層驗證。對無目的的惡意用戶采取的預防措施，對堅定的攻擊者可能無效。

• 設置陷阱賬號：設置兩個帳號，一個是普通管理員帳號，一個是防注入的帳號。將防注入的賬號設置的很象管理員，如admin，以制造假象吸引軟件的檢測，而密碼是大于千字以上的中文字符，迫使軟件分析賬號的時候進入全負荷狀態甚至資源耗盡而死機。

回答所涉及的環境：聯想天逸510S、Windows 10。