首页 > 网络安全

采用参数化查询SQL语句避免SQL注入

SQL参数化查询可以防止SQL注入,避免SQL注入的方法有两种: 第一种方案: 所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程, 第二种方案: 参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的SQL语句可能是这样: select * from UserInfo where sex=0 在参数化SQL语句中我们将数值以参数化的形式提供,对于上面的查询,我 … 阅读全文

检测出SSLv3存在严重设计缺陷漏洞(CVE-2014-3566)的修复办法

最新的安全漏洞 (CVE­-2014-3566) 代号是 POODLE, 这是一个缩写;这个漏洞和之前的 B.E.A.S.T (Browser Exploit Against SSL TLS) 非常相似,但是目前还没有可靠的解决办法,除非完全禁用 SSLv3 的支持。简单的说,攻击者可获取你加密流中的明文数据。 还是让我们来看看如何处理吧,Mozilla Security Wiki Serverside TLS 之前建议使用严格的协议和加密方法限制,值得我们注意。 Apache 在Apache 的 SSL 配置中禁用 SSLv3 和 SSLv3: Nginx 在 Nginx 只允许使用 TLS … 阅读全文