Nginx防止SQL注入攻击技巧
2013-04-23 15:48
477 查看
Nginx防止SQL注入攻击技巧
防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。但其实,我们也可以通过Nginx把一些比如包含单引号' , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。基本sql注入原理:
通过union all 联合查询获取其他表的内容(如user表的用户密码)
防御原理:
1. 通过以上配置过滤基本的url中的注入关键字;
2. 当然,数据库中的用户密码得加密存放 ;
3. php程序进行二次过滤,过滤GET和POST变量中的关键字;
4. 生产环境关闭PHP和MySQL的错误信息。
SQL注入攻击一般问号后面的请求参数,在nginx用$query_string表示
代码:
if ($host = 'sznxb.cn' ) {
rewrite ^/(.*)$ http://www.sznxb.cn/$1 permanent;
}
if ($request_uri ~* "(cost\()|(concat\()"){
return 404;
}
if ($request_uri ~* "[+|(%20)]union[+|(%20)]"){
return 404;
}
if ($request_uri ~* "[+|(%20)]and[+|(%20)]"){
return 404;
}
if ($request_uri ~* "[+|(%20)]select[+|(%20)]"){
return 404;
}
if ( $query_string ~* ".*[\;'\<\>].*" ){
return 404;
}
本文出自 “linux浪子” 博客,请务必保留此出处http://kkkkkk.blog.51cto.com/468162/1184487
相关文章推荐
- nginx 配置--限定用户访问,防止非80端口转80技巧
- Nginx中防止SQL注入攻击的相关配置介绍
- JSP网页防止sql注入攻击
- htaccess 防止盗链,防止目录浏览等10大技巧
- 在nginx中配置如何防止直接用ip访问服务器web server及server_name特性讲解
- nginx实现防止ddos攻击
- php过滤提交数据 防止sql注入攻击(4)
- nginx 技巧
- 网站安全配置Nginx防止网站被攻击
- 防止ADSL被入侵的一些技巧
- NGINX防止恶意解析!
- 提问题技巧之NGINX性能测试问题
- 防止Block的循环引用(技巧)
- 如何防止SQL注入攻击
- 防止GET和POST方式引起的SQL注入攻击ASP程序
- Nginx 日志各种技巧
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)
- Nginx服务器防止被压力测试
- string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险
- 如何防止SQL注入攻击