SQL注入

漏洞描述： 1、SQL注入***就是***者通过欺骗数据库服务器执行非授权的任意查询过程。2、SQL注入***就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者在编程过程中的漏洞，“当***者能够操作数据，向应用程序中插入一些SQL语句时，SQL注入***就发生了”。实际上，SQL注入***是***者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。SQL注入漏洞是目前互联网最常见也是影响非常广泛的漏洞。 漏洞危害： 1、网页被篡改。2、数据被篡改。3、核心数据被窃取。4、数据库所在服务器被***变成傀儡主机。修复方案： 若使用的是第三方CMS程序（如：discuz，dedecms，ecshop等），请将程序升级至最新版即可修复漏洞。建议过滤用户输入的数据，切记用户的所有输入都要认为是不安全的。 方案一：1、在网页代码中需要对用户输入的数据进行严格过滤。2、部署Web应用防火墙3、对数据库操作进行监控 方案二：使用开源的漏洞修复插件（ 需要站长懂得编程并且能够修改服务器代码 ）。具体可以参考： http://bbs.aliyun.com/read.php?spm=0.0.0.0.gzCYm2&tid=137391功能说明：

可以有效防护XSS，sql注射，代码执行，文件包含等多种高危漏洞。
使用方法：

将waf.php传到要包含的文件的目录

在页面中加入防护，有两种做法，根据情况二选一即可：

a).在所需要防护的页面加入代码就可以做到页面防注入、跨站
require_once('waf.php');

如果想整站防注，就在网站的一个公用文件中，如数据库链接文件config.inc.php，来调用本代码。常用php系统添加文件引用

PHPCMS V9 \phpcms\base.php

PHPWIND8.7 \data\sql_config.php

DEDECMS5.7 \data\common.inc.php

DiscuzX2 \config\config_global.php

Wordpress \wp-config.php

Metinfo \include\head.php

b).在每个文件最前加上代码具体做法是：在php.ini中找到 auto_prepent_file并修改为: Automatically add files before or after any PHP document;

auto_prepend_file = waf.php路径;

下载地址：
php代码补丁

php_patch.zip

asp代码补丁

asp.zip

本文出自：https://bbs.aliyun.com/read.php?spm=5176.775974981.0.0.hWrn9F&tid=137391