哪個報表工具能抵擋 SQL 注入攻擊
首先,要知道報表為啥會出現 SQL 注入攻擊。所有的報表工具都會提供引數功能,主要用於使用者輸入條件後的資料篩選,固定條件不夠,還要求更靈活,因此通用查詢又出現,允許動態拼 SQL,隨之而來的就是 SQL 注入的風險了。
那麼如何避免?簡單來講,安全第一,只要不支援拼 SQL 做靈活條件就行了,但這樣犧牲了產品能力,開源產品就是這樣,想做也只能自己硬編碼拼 SQL 來做靈活查詢。
另外,有些報表工具只提供拼 SQL 實現靈活條件的方案,但沒考慮規避 SQL 注入風險,是很危險的。
潤乾報表在這方面考慮的就很全面(目前不清楚是不是有其他廠家能做到),提供拼 SQL 實現靈活條件的同時,還提供了敏感詞監測功能,當引數中出現這些敏感詞的時候,程式就會主動丟擲錯誤提示,報表中斷執行、抵擋住可疑攻擊,並且都做了封裝,操作起來很容易,只需要在配置檔案配置好要規避的敏感詞(或特殊關鍵字)就可以了。
xml 檔案配置項如下:
禁用引數值透過 "disallowedParamWordList" 屬性,多值用逗號隔開列出。更詳細的說明可參考
報表的 SQL 植入風險及規避方法。
總的來說,絕大報表工具都可以做到抵擋 SQL 注入,但簡便性或產品完善度一對比就很清楚。另外,不能因為方法簡便、產品完善就貴,還要考慮產品價效比,潤乾報表兼具開源和商用的優勢,有商用報表工具的所有功能(甚至更完善),且價格非常便宜,不論從功能還是技術支援等方面,其擁有成本比開源產品還低。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69900830/viewspace-2691791/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- sql注入攻擊SQL
- SQL 注入攻擊SQL
- SQL隱碼攻擊原理——萬能密碼注入SQL密碼
- SQL 的注入式攻擊SQL
- SQL隱碼攻擊--sqlmap自動化注入工具SQL
- Java有能力抵擋LAMP的進攻嗎?JavaLAMP
- SQL隱碼攻擊-堆疊注入SQL
- 攻擊JavaWeb應用——3、sql注入(上)JavaWebSQL
- Mongodb注入攻擊MongoDB
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-語句注入SQL
- php安全程式設計—sql注入攻擊PHP程式設計SQL
- sql注入定義、原理、攻擊和防護SQL
- 報告稱超 6 成 Web 應用程式攻擊來自 SQL 注入WebSQL
- SQL隱碼攻擊 - 手工注入sqli-labsSQL
- 【知識分享】伺服器遭受攻擊的方式,如何抵禦攻擊?伺服器
- SQL隱碼攻擊之常見注入的步驟④SQL
- SQL隱碼攻擊之字元型和數字型注入SQL字元
- 六個建議防止SQL隱碼攻擊式攻擊SQL
- 透過nginx配置檔案抵禦攻擊Nginx
- 通過Nginx配置檔案抵禦攻擊Nginx
- ASP上兩個防止SQL隱碼攻擊式攻擊FunctionSQLFunction
- 滲透測試網站sql注入攻擊與防護網站SQL
- JeecgBoot抵禦XSS攻擊實現方案boot
- SQL隱碼攻擊之二次注入(sql-lab第24關)SQL
- SQL隱碼攻擊之二次,加解密,DNS等注入SQL解密DNS
- 封神臺 SQL隱碼攻擊 靶場 (貓舍)手動注入SQL
- 預編譯SQL為什麼能夠防止SQL隱碼攻擊編譯SQL
- XSLT 服務端注入攻擊服務端
- React 防注入攻擊 XSS攻擊 (放心大膽的用吧)React
- SQL隱碼攻擊速查表(下)與Oracle注入速查表SQLOracle
- SQL隱碼攻擊漏洞測試工具比較SQL
- SQL隱碼攻擊式攻擊掃描器SQL
- SQL隱碼攻擊SQL
- 【SQL Server】--SQL隱碼攻擊SQLServer
- 報告稱超6成Web應用程式攻擊來自SQL隱碼攻擊WebSQL
- 【知識分享】 伺服器抵禦ddos攻擊的方法伺服器
- 利用網路分段和訪問控制來抵禦攻擊
- 如何在 Apache 中抵禦暴力破解和 DDos 攻擊Apache