哪個報表工具能抵擋 SQL 注入攻擊

xiaohuihui發表於2020-05-13

首先,要知道報表為啥會出現 SQL 注入攻擊。所有的報表工具都會提供引數功能,主要用於使用者輸入條件後的資料篩選,固定條件不夠,還要求更靈活,因此通用查詢又出現,允許動態拼 SQL,隨之而來的就是 SQL 注入的風險了。
那麼如何避免?簡單來講,安全第一,只要不支援拼 SQL 做靈活條件就行了,但這樣犧牲了產品能力,開源產品就是這樣,想做也只能自己硬編碼拼 SQL 來做靈活查詢。
另外,有些報表工具只提供拼 SQL 實現靈活條件的方案,但沒考慮規避 SQL 注入風險,是很危險的。

潤乾報表在這方面考慮的就很全面(目前不清楚是不是有其他廠家能做到),提供拼 SQL 實現靈活條件的同時,還提供了敏感詞監測功能,當引數中出現這些敏感詞的時候,程式就會主動丟擲錯誤提示,報表中斷執行、抵擋住可疑攻擊,並且都做了封裝,操作起來很容易,只需要在配置檔案配置好要規避的敏感詞(或特殊關鍵字)就可以了。

xml 檔案配置項如下:
禁用引數值透過 "disallowedParamWordList" 屬性,多值用逗號隔開列出。更詳細的說明可參考 報表的 SQL 植入風險及規避方法

總的來說,絕大報表工具都可以做到抵擋 SQL 注入,但簡便性或產品完善度一對比就很清楚。另外,不能因為方法簡便、產品完善就貴,還要考慮產品價效比,潤乾報表兼具開源和商用的優勢,有商用報表工具的所有功能(甚至更完善),且價格非常便宜,不論從功能還是技術支援等方面,其擁有成本比開源產品還低。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69900830/viewspace-2691791/,如需轉載,請註明出處,否則將追究法律責任。

相關文章