彻底解决SQL注射安全问题

整理自：安全焦点论坛

jetken ：小弟在此先行礼了`前天维护服务器，发现网站页面被串改了`偶想肯定是WEB上面下的手段，平时的溢出攻击是无效的
而且日志上显示SQL服务器被DDOS过，残！
  有1解决方法就是在每段asp程序中加入防SQL注射补丁。但是偶感觉还是不可靠，希望哪位高手指点迷津？
<---据听说XFOCUS的主机就不怕注射。即使注射了也照样无效。。什么好防火墙了也--->

kakaru；

不敢说彻底，草草说几个建议您参考：
1、之所以SQL injection多数发生在asp+MSSQL上，少数发生在PHP/JSP之类的环境中，原因之一，是否允许SQL多语句一次执行，就是类似：xxxx.asp?id=123;use master;exec xp_cmdshell .....这里面就是好几个语句了，不允许他，好了一大块。
2、过滤，replace函数肯定要下功夫的，其实动网论坛的还可以，别看老出漏洞，它的代码肯定不是一个人写得，有手艺不好的写了一部份东西，过滤之类的太糙，所以别人抓小辫子：）但好的地方仍然值得学习。
3、数据库权限，有人老说MDB的没有SQL那么多功能，反而安全，可是外面流传的能够把access库列名、甚至管理员口令暴力出来的小工具也一堆堆。还不如好好把MSSQL权限搞好点。至少别挂着sa玩~但是这个办法由很难防止drop table或者恶意updateinsert之类的动作，所以还是多方面结合的好。
4、有些IDS或者类似系统对injection的请求比较敏感，可以使用它们和FW联动，B掉一些入侵，我就赶上一次，每一个IP地址只能送一条语句，然后就被ban了，写个FTP脚本要用7、8台肉鸡，至少给人造成麻烦，不适合你有仇的说不定就没心情了（但显然这也不是万能的好办法，配合使用）
5、injection进来，有人喜欢传个nc之类的东西好拿shell，控制好自己机器连接别人的session也很重要，很多人就知道不叫别人连自己，结果人家用tftp或者写ftp脚本叫你的机器去别人那里down东西，然后主动把shell送出来，一样SB，而且，别一说TFTP/FTP就封69/21，写个脚本还能从别人80直接get下东西来，你总不能把80封了吧，设置好访问的方向，没必要的一律封杀，SQL server能用内网地址的，就用内网，不设公网地址，也不能通过FW NAT出来（是用于SQL/web分开的）这样真正执行injection进去的语句的是那个内网的SQL server，他又不能与internet连接，又制造一大堆麻烦............

仅供参考