SQL防注入

1.1 版本

1.2 應用場景

SQL 注入是比較常見的網路攻擊方式之一，它針對程式員編程時的疏忽，透過惡意的參數輸入，讓後台執行這段 SQL，達到獲取資料或者破壞資料庫的目的。

防範 SQL 注入，成為保護系統安全的重中之重。

1.3 功能簡介

SQL 防注入功能，針對資料服務 SQL 發出的參數請求進行攔截。可實現：

• 禁用特殊關鍵字防止 SQL 注入。

• 透過字元轉義防止 SQL 注入。

2.1 開啟特殊關鍵字

以管理者身分進入 FineDataLink，點選「管理系統>安全管理>SQL防注入」，如下圖所示：

注：當 SQL 參數中存在已禁用的字元時，則在日誌中丟擲錯誤資訊。

2.2 新增特殊關鍵字

1）點選「禁用特殊關鍵字」按鈕右下方的「編輯」按鈕，可以新增特殊關鍵字或刪除自訂的特殊關鍵字。如下圖所示：

2）點選「新增特殊關鍵字」，可自訂新增關鍵字，如下圖所示：

注：可刪除自訂的特殊關鍵字。

範例正則運算式說明：\b(?i)select\b，(?i)表示不區分select大小寫，\b表示邊框，詳細請查看 正則運算式元字元 

3）可在右側搜尋框進行全局搜尋，可搜尋到已選擇和未選擇的特殊關鍵字，如下圖所示：

2.3 特殊關鍵字禁用效果查看

在資料服務中設定參數，並輸入參數值 select（ SQL 參數中存在已禁用字元 select ），點選查詢。

則日誌丟擲錯誤資訊：Request parameter error - Invalid parameters.如下圖所示：

3.1 開啟分離字元

以管理者身分進入 FineDataLink，點選「管理系統>安全管理>SQL防注入」，開啟「分離字元」按鈕。

當 SQL 參數中存在需要轉義的字元時，這些字元會被轉為空，如下圖所示：

3.2 新增字元

新增字元設定和新增特殊關鍵字設定操作步驟相同，具體步驟可參考本文 2.2 章節。