最近两年,网站数据库注入攻击比较常见,常见的防范措施主要是修改IIS中的500错误提示,以及在代码中加上过滤代码。

网站经常被注入攻击,只好每次事后恢复数据库(我不会写网站代码,也就无法为用户修改网站防注代码)。在几次以后发现,现在遇到的注入攻击都是在现有数据库纪录中加上JS脚本代码,没有直接插入新纪录的情况发生,于是估计现遇到的注入攻击都是Update数据库中的记录。在有了这个判断之后,打开数据库管理控制台,将该网站数据库用户的Update权限去掉,保留insert权限,此后该网站没有再被注入,由于保留了insert权限,网站中的留言、预订功能未受影响。由于限制了Update权限,网站现有信息也无法通过后台管理修改,这时再新建一个数据库用户,不限制Update权限,只提供给后台管理使用,即可解决网站信息维护修改问题。

这个方法简单说就是为网站配置两个数据库用户,网站前台使用一个限制了Update权限的数据库账号,网站后台使用一个不限制权限的数据库账号,由此解决网站防注入攻击问题。

转的,自己懒得写。