友情提示:欢迎光临,本博客提供的代码,请粘贴到EditPlus 3中使用!!请使用火狐,Chrome浏览器进行浏览网站!出售wenca.cn域名,有要的请M我qq:316358892

Nginx防止sql-inject规则

post by rocdk890 / 2011-6-2 11:31 Thursday linux技术

error_page 519 /519.html;
        if ($request_uri ~* "(cost\()|(concat\()") {
                return 519;
        }
        if ($request_uri ~* "[+|(%20)]union[+|(%20)]") {
                return 519;
        }
        if ($request_uri ~* "[+|(%20)]and[+|(%20)]") {
                return 519;
        }
        if ($request_uri ~* "[+|(%20)]select[+|(%20)]") {
                return 519;
        }

基本sql注入原理:
通过union all 联合查询获取其他表的内容(如user表的用户密码)

防御原理:
1. 通过以上配置过滤基本的url中的注入关键字;
2. 当然,数据库中的用户密码得加密存放 ;
3. php程序进行二次过滤,过滤GET和POST变量中的关键字;
4. 生产环境关闭PHP和MySQL的错误信息。

标签: nginx sql注入

评论(0) 引用(0) 浏览(2528)