SQL注入是最常见的一种安全漏洞，也深受黑客们喜爱。而做网站的最怕两点。

第一、怕黑客入侵网站

第二、怕黑客CC DDOS攻击

说道黑客攻击就不得不提到SQL注入，下面给大家详细的介绍一下SQL以及防范。

SQL 注入攻击（SQL Injection），简称注入攻击、SQL 注入，被广泛用于非法获取网站控制权，是发生

在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的 SQL 指令的检查，被数

据库误认为是正常的 SQL 指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及

进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

通常情况下，SQL 注入的位置包括：

（1）表单提交，主要是 POST 请求，也包括 GET 请求；

（2）URL 参数提交，主要为 GET 请求参数；

（3）Cookie 参数提交；

（4）HTTP 请求头部的一些可修改的值，比如 Referer、User_Agent 等；

（5）一些边缘的输入点，比如.mp3 文件的一些文件信息等。

SQL 注入的危害不仅体现在数据库层面上，还有可能危及承载数据库的操作系统；如果 SQL 注入被用来挂

马，还可能用来传播恶意软件等，

这些危害包括但不局限于：

（1）数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。作为数据的存储中心，数据库里往往保存

着各类的隐私信息，SQL 注入攻击能导致这些隐私信息透明于攻击者。

（2）网页篡改：通过操作数据库对特定网页进行篡改。

（3）网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

（4）数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被篡改。

（5）服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操

作系统。

（6）破坏硬盘数据，瘫痪全系统。

解决 SQL 注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限

原则。

通常使用的方案有：

（1）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量

嵌入到 SQL 语句中。当前几乎所有的数据库系统都提供了参数化 SQL 语句执行接口，使用此接口可以非常

有效的防止 SQL 注入攻击。

（2）对进入数据库的特殊字符（'"\<>&*;等）进行转义处理，或编码转换。

（3）确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为 int 型。

（4）数据长度应该严格规定，能在一定程度上防止比较长的 SQL 注入语句无法正确执行。

（5）网站每个数据层的编码统一，建议全部使用 UTF-8 编码，上下层编码不一致有可能导致一些过滤模型

被绕过。

（6）严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的

减少注入攻击对数据库的危害。

（7）避免网站显示 SQL 错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些

判断。

（8）在网站发布之前建议使用一些专业的 SQL 注入检测工具进行检测，及时修补这些 SQL 注入漏洞。