防范sql注入漏洞的方法:
1.對數據有效性進行校驗,例如一個輸入框只能輸入數字,那么要通過校驗確保用戶輸入的都是數字。
2.對客戶端提交的數據進行封裝,不要將數據直接存入cookie中,方法:在編程的代碼中,插入session、if、try、else,這樣可以有效地防止攻擊者獲取cookie中的重要信息。
3.將在代碼中存在的用戶名、口令信息等敏感字段刪除,替換成輸入框。
4.使用雙引號替換掉所有用戶輸入的單引號。
5.應在Web Service中指定一個不包含任何信息的錯誤提示頁面。
6.在Web頁面中將連接數據庫的sql字符串替換成指定的Value,然后將Web.config文件進行加密,拒絕訪問。
7.將虛擬站點的文件目錄禁止游客用戶訪問,將User用戶權限修改成只讀權限。
8.禁止或刪除數據庫中sa權限用戶的訪問,對不同的數據庫劃分不同的用戶權限。
