SQL防注入

编辑
文档创建者:susie (58814 )     浏览次数:1731次     编辑次数:2次     最近更新:jiangsr 于 2017-12-04     

目录:

1. 描述编辑

SQL注入就是一些人可以通过恶意的参数输入,让后台执行这段SQL,然后达到获取数据或者破坏数据库的目的。

SQL防注入就是通过以下两种方式来达到防止SQL注入的目的:

a.禁用特殊关键字来防止SQL注入;

b.通过字符转义来防止SQL注入。

2. 特殊关键字编辑

2.1 开启特殊关键字

点击管理系统>系统管理>SQL防注入,开启特殊关键字,当sql参数中存在需要禁用的字符时,则在日志中抛出错误信息,如下图:

2.2 添加关键字

点击编辑,可以新增/删除特殊关键字,如下图:

点击【添加关键字】,可以进行自定义关键字,包括删除关键字和添加关键字(支持正则表达式),两个部分,如下图:

正则表达式说明,(?i)select,(?i)表示不区分select大小写,表示边界,详细请查看正则表达式元字符

注:字符设置没有支持正则表达式

2.3 特殊关键字禁用效果查看

打开模板%FR_HOME%\WebReport\WEB-INF\reportlets\GettingStarted.cpt,在参数这里输入【select】,且当sql参数中存在需要禁用的字符——select,则在日志里抛出错误信息,”因使用了禁用的字符xxx,怀疑进行SQL注入攻击,有特殊需要请联系系统管理员“,如下图:

3. 字符编辑

3.1 开启字符

点击管理系统>系统管理>SQL防注入,开启字符,当sql参数中存在需要转义的字符时,则这些字符会被转为空,如下图:

3.2 添加字符

添加字符设置和添加特殊关键字设置步骤大致相同

附件列表


主题: 决策系统
标签: 暂无标签 编辑/添加标签
如果您认为本文档还有待完善,请编辑

文档内容仅供参考,如果你需要获取更多帮助,付费/准付费客户请咨询帆软技术支持
关于技术问题,您还可以前往帆软社区,点击顶部搜索框旁边的提问按钮
若您还有其他非技术类问题,可以联系帆软传说哥(qq:1745114201

此页面有帮助吗?