B11-02 SQL防注入

1. SQL 注入就是一些人通過惡意的參數輸入，讓後台執行這段 SQL，達到獲取資料或者破壞資料庫的目的。

2. SQL 防注入就是通過禁用特殊關鍵字和通過逃脫字元兩種方式來達到防止 SQL 注入的目的。

1

用管理員帳號登入決策平台，點擊【管理系統】→【安全管理】→【SQL防注入】。

2

特殊關鍵字。

1. 預設開啓特殊關鍵字，下方顯示已禁用的特殊關鍵字，當 SQL 參數中存在已禁用的字元時，則在日誌中拋出錯誤信息。

2. 點擊已禁用關鍵字右上角的【編輯】按鈕，可以新增特殊關鍵字或刪除自訂的特殊關鍵字。單擊已選擇的關鍵字，變為未選狀態；單擊未選擇的關鍵字，變為已選狀態。

3. 點擊【新增特殊關鍵字】，可自訂新增關鍵字。

4. 點擊自訂特殊關鍵字旁的【】按鈕，可刪除自訂的特殊關鍵字。

3

特殊關鍵字禁用效果查看。

1. 預覽範本GettingStartedTW.cpt，在【地區】右側文本框中輸入aaa（ SQL 參數中存在已禁用字元 aaa ）。

2. 點擊【查詢】，則日誌拋出錯誤信息：因使用了禁用的字元，懷疑進行 SQL 注入攻擊，有特殊需要請聯繫系統管理員。

4

字元。

1. 點擊開啓【逃脫字元】按鈕，下方顯示已逃脫的字元，當 SQL 參數中存在需要逃脫的字元時，這些字元會被轉為空。

2. 逃脫字元編輯和特殊關鍵字編輯設定操作步驟相同。

3. 禁止使用逗號，句號，括號作為逃脫字元，如有需求，新增字元時需修改寫法為\(\)。