企業(yè)計算機試用培訓

企業(yè)計算機試用培訓第一頁，共三十二頁，2022年，8月28日影響計算機正常使用有以下幾種情況一、計算機病毒計算機病毒是指編制的或者在計算機程序中插入的，能夠破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。主要目的是為了使計算機無法正常使用。二、計算機木馬計算機木馬是指隱藏在計算機后臺運行的程序，主要目的不是使計算機無法正常運行，而是竊取各種用戶信息，發(fā)送給木馬制作者，比如盜取QQ和各種游戲帳號。二、惡意軟件惡意軟件也就是我們常說的流氓軟件，“流氓軟件”是介于病毒和正規(guī)軟件之間的軟件。主要特征有自動彈出廣告、瀏覽器劫持、收集用戶信息等。第二頁，共三十二頁，2022年，8月28日保障計算機安全之系統(tǒng)補丁計算機軟件總是存在漏洞，而漏洞往往為病毒木馬提供了傳播的途徑。實際上漏洞被發(fā)現(xiàn)后，軟件公司會制作補丁程序把漏洞修補好。在“我的電腦”圖標上點擊鼠標右鍵，“屬性”，來看我們系統(tǒng)的當前版本。第三頁，共三十二頁，2022年，8月28日保障計算機安全之系統(tǒng)補丁微軟的WINDOWS系列操作系統(tǒng)的補丁程序情況：補丁版本是SP4，只提供重大漏洞補丁程序WINDOWSXP目前的補丁版本是SP3請立即更新你的系統(tǒng)，點擊“開始”，選擇

保證安裝所有的補丁程序，這是計算機安全的基礎。

第四頁，共三十二頁，2022年，8月28日病毒的分類

無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。

無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。

危險型：這類病毒會在計算機系統(tǒng)操作中造成嚴重影響。

非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息，造成災難性后果。

第五頁，共三十二頁，2022年，8月28日保障計算機安全之防病毒軟件防病毒軟件的誤區(qū)，大部分用戶知道安裝防病毒軟件的重要性，但往往忽略了以下問題：1、防病毒軟件不是正版，安裝后沒有效果2、一套正版防病毒軟件安裝若干臺機器，結果因為軟件升級次數(shù)限制，大部分機器不能更新病毒庫3、安裝防病毒軟件后，從不升級病毒庫防病毒軟件需要最新的病毒庫支持，才能有效的保護你的計算機第六頁，共三十二頁，2022年，8月28日流氓軟件流氓軟件是中國大陸對網(wǎng)絡上散播的符合如下條件（主要是第一條）的軟件的一種稱呼：1、采用多種社會和技術手段，強行或者秘密安裝，并抵制卸載；2、強行修改用戶軟件設置，如瀏覽器主頁，軟件自動啟動選項，安全選項；強行彈出廣告，或者其他干擾用戶占用系統(tǒng)資源行為；3、有侵害用戶信息和財產(chǎn)安全的潛在因素或者隱患；4、未經(jīng)用戶許可，或者利用用戶疏忽,或者利用用戶缺乏相關知識，秘密收集用戶個人信息、秘密和隱私。這些軟件也可能被稱為惡意廣告軟件(adware)、間諜軟件(spyware)、惡意共享軟件(maliciousshareware)。與病毒或者蠕蟲不同，這些軟件很多不是小團體或者個人秘密地編寫和散播，反而有很多知名企業(yè)和團體涉嫌此類軟件。流氓軟件具備部分病毒和黑客特征，屬于正常軟件和病毒之間的灰色地帶。殺毒軟件一般不作處理。第七頁，共三十二頁，2022年，8月28日流氓軟件的主要特征流氓軟件可能造成電腦運行變慢、瀏覽器異常等。多數(shù)流氓軟件具有以下特征：強迫性安裝：不經(jīng)用戶許可自動安裝不給出明顯提示，欺騙用戶安裝反復提示用戶安裝，使用戶不勝其煩而不得不安裝無法卸載：正常手段無法卸載無法完全卸載頻繁彈出廣告窗口，干擾正常使用第八頁，共三十二頁，2022年，8月28日常見的流氓軟件3721中文實名CNNIC中文網(wǎng)址DuDu加速器網(wǎng)絡豬STD廣告發(fā)布系統(tǒng)千橡下屬網(wǎng)站淘寶網(wǎng)ebay易趣青娛樂聊天軟件（qyule）百度超級搜霸一搜工具條很棒小秘書第九頁，共三十二頁，2022年，8月28日保障計算機安全之防流氓軟件推薦安裝360安全衛(wèi)士下載非正版XP用戶，可以使用360安全衛(wèi)士的“修復系統(tǒng)漏洞”功能安裝系統(tǒng)補丁程序。推薦開啟360安全衛(wèi)士的保護功能中前2項保護：“惡意軟件入侵攔截”和“惡意網(wǎng)站及釣魚網(wǎng)站攔截”第十頁，共三十二頁，2022年，8月28日木馬軟件木馬（Trojan）這個名字來源于古希臘傳說，它是指通過一段特定的程序（木馬程序）來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是服務端，即被控制端。木馬的設計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務一旦運行并被控制端連接，其控制端將享有服務端的大部分操作權限，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。木馬軟件運行后，會監(jiān)控你對計算機的操作，比較常見的有記錄QQ密碼以及各種網(wǎng)游帳號密碼等，有針對性的記錄下來，然后后臺發(fā)送給木馬使用者。第十一頁，共三十二頁，2022年，8月28日保障計算機安全之防木馬軟件可以點擊360安全衛(wèi)士的木馬防火墻對木馬進行防護第十二頁，共三十二頁，2022年，8月28日保障計算機安全之防木馬軟件第十三頁，共三十二頁，2022年，8月28日保障計算機安全之防木馬軟件平時用360安全衛(wèi)士自帶的查殺木馬定期對電腦木馬進行全盤掃描第十四頁，共三十二頁，2022年，8月28日ARP網(wǎng)絡攻擊地址轉(zhuǎn)換協(xié)議ARP（AddressResolutionProtocol）一種將ip轉(zhuǎn)化成以ip對應的網(wǎng)卡的物理地址的一種協(xié)議，或者說ARP協(xié)議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議。它靠維持在內(nèi)存中保存的一張表來使ip得以在網(wǎng)絡上被目標機器應答。正常的計算機以及網(wǎng)絡設備定期發(fā)送ARP廣播，使網(wǎng)絡內(nèi)計算機的IP/MAC對應表保持最新的狀態(tài)。ARP協(xié)議設計之初沒有考慮安全問題，所以任何計算機都可以發(fā)送虛假的ARP數(shù)據(jù)包。計算機A把自己的MAC和網(wǎng)關IP地址對應的數(shù)據(jù)包發(fā)送出去，其它計算機就會把發(fā)送給網(wǎng)關的數(shù)據(jù)包發(fā)送給計算機A。第十五頁，共三十二頁，2022年，8月28日ARP攻擊過程典型的ARP攻擊原理為：中毒的計算機開始在局域網(wǎng)段發(fā)送虛假的IP/MAC對應信息，篡改網(wǎng)關MAC地址，使自己成為假網(wǎng)關。計算機將數(shù)據(jù)包發(fā)送給假網(wǎng)關，假網(wǎng)關再把數(shù)據(jù)包轉(zhuǎn)發(fā)給真正的網(wǎng)關[網(wǎng)絡通]當抓取的數(shù)據(jù)包到一定數(shù)量的時候，停止轉(zhuǎn)發(fā)數(shù)據(jù)包[網(wǎng)絡斷]假網(wǎng)關分析接受到的數(shù)據(jù)包，把有價值的數(shù)據(jù)包記錄下來（比如QQ以及網(wǎng)游登陸數(shù)據(jù)包），發(fā)送給病毒制作者。數(shù)據(jù)包分析完后（一般要幾分鐘），又開始抓取和轉(zhuǎn)發(fā)數(shù)據(jù)包[網(wǎng)絡通]ARP攻擊有一定的周期，使網(wǎng)絡時通時斷，造成用戶頻繁登陸QQ或者網(wǎng)游，從而增加抓取有價值數(shù)據(jù)包的幾率。為了掩蓋真網(wǎng)關的正常ARP廣播，假網(wǎng)關發(fā)送的ARP廣播是正常的數(shù)倍第十六頁，共三十二頁，2022年，8月28日防范病毒計算機網(wǎng)絡安全在于大家養(yǎng)成良好的使用習慣：外來光盤、U盤經(jīng)檢測確認無毒后再使用。準備有最新的病毒檢測、清除軟件。補丁一定要打全；及時更新殺毒軟件病毒庫并開啟監(jiān)控；盡量去一些比較大的站下載東西；不去不健康的的網(wǎng)站；不運行不接受陌生人發(fā)送的網(wǎng)絡地址、圖片和程序;安裝軟件時看清楚再確定,不必要的插件不要安裝。第十七頁，共三十二頁，2022年，8月28日黑客攻擊之DDOS攻擊ddos，即分布式拒絕服務攻擊(distributeddenialofservice).簡單的講，拒絕服務就是用超出被攻擊目標處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)，帶寬源,致使網(wǎng)絡服務癱瘓，就相當于必勝客在客滿的時候不再讓人進去一樣，呵呵，你想吃餡餅，就必須在門口等吧。DOS攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問，這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡帶寬，從而阻止正常用戶的訪問。

第十八頁，共三十二頁，2022年，8月28日幾種流行的DDOS攻擊當前主要有三種流行的DDOS攻擊：

1、SYN/ACKFlood攻擊：這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡服務，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務，由于源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問，但卻可以Ping的通，在服務器上用Netstat-na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應鍵盤和鼠標。普通防火墻大多無法抵御此種攻擊。

2、TCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過的，殊不知很多網(wǎng)絡服務程序(如：IIS、Apache等Web服務器)能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網(wǎng)站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接，直到服務器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。

第十九頁，共三十二頁，2022年，8月28日幾種流行的DDOS攻擊

3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的，特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數(shù)據(jù)庫服務器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令，只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。第二十頁，共三十二頁，2022年，8月28日怎么抵御DDOS攻擊對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。以下幾點是防御DDOS攻擊幾點：

1、采用高性能的網(wǎng)絡設備首先要保證網(wǎng)絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡提供商有特殊關系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、盡量避免NAT的使用無論是路由器還是硬件防護墻設備要盡量避免采用網(wǎng)絡地址轉(zhuǎn)換NAT的使用，因為采用此技術會較大降低網(wǎng)絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。第二十一頁，共三十二頁，2022年，8月28日怎么抵御DDOS攻擊

3、充足的網(wǎng)絡帶寬保證網(wǎng)絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

4、升級主機服務器硬件在有網(wǎng)絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P42.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內(nèi)存，若有志強雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。第二十二頁，共三十二頁，2022年，8月28日怎么抵御DDOS攻擊5、把網(wǎng)站做成靜態(tài)頁面大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關于HTML的溢出還沒出現(xiàn)，看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

6、增強操作系統(tǒng)的TCP/IP棧

Win2000和Win2003作為服務器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個，具體怎么開啟，自己去看微軟的文章吧!《強化TCP/IP堆棧安全》。也許有的人會問，那我用的是Linux和FreeBSD怎么辦?很簡單，按照這篇文章去做吧!《SYNCookies》。

7、安裝專業(yè)抗DDOS防火墻第二十三頁，共三十二頁，2022年，8月28日黑客攻擊之XSS

跨站腳本攻擊（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站、使用即時通訊軟件、甚至在閱讀電子郵件時，通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。攻擊者通常會用十六進制（或其他編碼方式）將鏈接編碼，以免用戶懷疑它的合法性。網(wǎng)站在接收到包含惡意代碼的請求之后會產(chǎn)成一個包含惡意代碼的頁面，而這個頁面看起來就像是那個網(wǎng)站應當生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時，惡意腳本就會執(zhí)行，盜取用戶乙的session信息。

第二十四頁，共三十二頁，2022年，8月28日用戶應當如何防范XSS保護自己的最好方法就是僅點擊你想訪問的那個網(wǎng)站上的鏈接。例如，如果你訪問了一個網(wǎng)站，該網(wǎng)站有一個鏈接指向了CNN，那么不要單擊該鏈接，而是訪問CNN的主站點并使用搜索引擎查找相關內(nèi)容。這樣可以杜絕90%以上的XSS攻擊。有時候XSS會在你打開電子郵件、打開附件、閱讀留言板、閱讀論壇時自動進行。當你打開電子郵件或是在公共論壇上閱讀你不認識的人的帖子時一定要注意。最好的解決辦法就是關閉瀏覽器的Javascript功能。在IE中可以將安全級別設置為最高，可以防止cookie被盜。第二十五頁，共三十二頁，2022年，8月28日黑客攻擊之SQL注入隨著B/S模式應用開發(fā)的發(fā)展，使用這種模式編寫應用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以目前市面的防火墻都不會對SQL注入發(fā)出警報，如果管理員沒查看IIS日志的習慣，可能被入侵很長時間都不會發(fā)覺。但是，SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據(jù)具體情況進行分析，構造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)SQL注入攻擊的總體思路是：l發(fā)現(xiàn)SQL注入位置；l判斷后臺數(shù)據(jù)庫類型；l確定XP_CMDSHELL可執(zhí)行情況l發(fā)現(xiàn)WEB虛擬目錄l上傳ASP木馬；l得到管理員權限；第二十六頁，共三十二頁，2022年，8月28日如何防御SQL注入既然SQL注入式攻擊的危害這么大，那么該如何來防治呢?下面這些建議或許對數(shù)據(jù)庫管理員防治SQL注入式攻擊有一定的幫助。

1、普通用戶與系統(tǒng)管理員用戶的權限要有嚴格的區(qū)分。如果一個普通用戶在使用查詢語句中嵌入另一個DropTable語句，那么是否允許執(zhí)行呢?由于Drop語句關系到數(shù)據(jù)庫的基本對象，故要操作這個語句用戶必須有相關的權限。在權限設計中，對于終端用戶，即應用軟件的使用者，沒有必要給他們數(shù)據(jù)庫對象的建立、刪除等權限。那么即使在他們使用SQL語句中帶有嵌入式的惡意代碼，由于其用戶權限的限制，這些代碼也將無法被執(zhí)行。故應用程序在設計的時候，最好把系統(tǒng)管理員的用戶與普通用戶區(qū)分開來。如此可以最大限度的減少注入式攻擊對數(shù)據(jù)庫帶來的危害。

2、強迫使用參數(shù)化語句。如果在編寫SQL語句的時候，用戶輸入的變量不是直接嵌入到SQL語句。而是通過參數(shù)來傳遞這個變量的話，那么就可以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸入的內(nèi)容必須進行過濾，或者使用參數(shù)化的語句來傳遞用戶輸入的變量。參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。采用這種措施，可以杜絕大部分的SQL注入式攻擊。不過可惜的是，現(xiàn)在支持參數(shù)化語句的數(shù)據(jù)庫引擎并不多。不過數(shù)據(jù)庫工程師在開發(fā)產(chǎn)品的時候要盡量采用參數(shù)化語句。第二十七頁，共三十二頁，2022年，8月28日如何防御SQL注入

3、加強對用戶輸入的驗證。總體來說，防治SQL注入式攻擊可以采用兩種方法，一是加強對用戶輸入內(nèi)容的檢查與驗證;二是強迫使用參數(shù)化語句來傳遞用戶輸入的內(nèi)容。在SQLServer數(shù)據(jù)庫中，有比較多的用戶輸入內(nèi)容驗證工具，可以幫助管理員來對付SQL注入式攻擊。測試字符串變量的內(nèi)容，只接受所需的值。拒絕包含二進制數(shù)據(jù)、轉(zhuǎn)義序列和注釋字符的輸入內(nèi)容。這有助于防止腳本注入，防止某些緩沖區(qū)溢出攻擊。測試用戶輸入內(nèi)容的大小和數(shù)據(jù)類型，強制執(zhí)行適當?shù)南拗婆c轉(zhuǎn)換。這即有助于防止有意造成的緩沖區(qū)溢出，對于防治注入式攻擊有比較明顯的效果。如可以使用存儲過程來驗證用戶的輸入。利用存儲過程可以實現(xiàn)對用戶輸入變量的過濾，如拒絕一些特殊的符號。如以上那個惡意代碼中，只要存儲過程把那個分號過濾掉，那么這個惡意代碼也就沒有用武之地了。在執(zhí)行SQL語句之前，可以通過數(shù)據(jù)庫的存儲過程，來拒絕接納一些特殊的符號。在不影響數(shù)據(jù)庫應用的前提下，應該讓數(shù)據(jù)庫拒絕包含以下字符的輸入。如分號分隔符，它是SQL注入式攻擊的主要幫兇。如注釋分隔符。注釋只有在數(shù)據(jù)設計的時候用的到。一般用戶的查詢語句中沒有必要注釋的內(nèi)容，故可以直接把他拒絕掉，通常情況下這么做不會發(fā)生意外損失。把以上這些特殊符號拒絕掉，那么即使在SQL語句中嵌入了惡意代碼，他們也將毫無作為。故始終通過測試類型、長度、格式和范圍來驗證用戶輸入，過濾用戶輸入的內(nèi)容。這是防止SQL注入式攻擊的常見并且行之有效的措施。第二十八頁，共三十二頁，2022年，8月28日如何防御SQL注入4、多多使用SQLServer數(shù)據(jù)庫自帶的安全參數(shù)。為了減少注入式攻擊對于SQLServer數(shù)據(jù)庫的不良影響，在SQLServer數(shù)據(jù)庫專門設計了相對安全的SQL參數(shù)。在數(shù)據(jù)庫設計過程中，工程師要盡量采用這些參數(shù)來杜絕惡意的SQL注入式攻擊。如在SQLServer數(shù)據(jù)庫中提供了Parameters集合。這個集合提供了類型檢查和長度驗證的功能。如果管理員采用了Parameters這個集合的話，則用戶輸入的內(nèi)容將被視為字符值而不是可執(zhí)行代碼。即使用戶輸入的內(nèi)容中含有可執(zhí)行代碼，則數(shù)據(jù)庫也會過濾掉。因為此時數(shù)據(jù)庫只把它當作普通的字符來處理。使用Parameters集合的另外一個優(yōu)點是可以強制執(zhí)行類型和長度檢查，范圍以外的值將觸發(fā)異常。如果用戶輸入的值不符合指定的類型與長度約束，就會發(fā)生異常，并報告給管理員。如上面這個案例中，如果員工編號定義的數(shù)據(jù)類型為字符串型，長度為10個字符。而用戶輸入的內(nèi)容雖然也是字符類型的數(shù)據(jù)，但是其長度達到了20個字符。則此時就會引發(fā)異常，因為用戶輸入的內(nèi)容長度超過了數(shù)據(jù)庫字段長度的限制。第二十九頁，共三十二頁，2022年，8月28日如何防御SQL注入

5、多層環(huán)境如何防治SQL注入式攻擊?在多層應用環(huán)境中，用戶輸入的所有數(shù)據(jù)都應該在驗證之后才能被允許進入到可信區(qū)域。未通過驗證過程的數(shù)據(jù)應被數(shù)據(jù)庫拒絕，并向上一層返回一個錯誤信息。實現(xiàn)多層驗證。對無目的的惡意用戶采取的預防措施，對堅定的攻擊者可能無效。更好的做法是在用戶界面和所有跨信任邊界的后續(xù)點上驗證輸入。如在客戶端應用程序中驗證數(shù)據(jù)可以防止簡單的腳本注入。但是，如果下一層認為其輸入已通過驗證，則任何可以繞過客戶端的惡意用戶就可以不受限制地訪問系統(tǒng)。故對于多層應用環(huán)境，在防止注入式攻擊的時候，需要各層一起努力，在客戶端與數(shù)據(jù)庫端都要采用相應的措施來防治SQL語句的注入式攻擊。

6、必要的情況下使用專業(yè)的漏洞掃描工具來尋找可能被攻擊的點。使用專業(yè)的漏洞掃描工具，可以幫助管理員來尋找可能被SQL注入式攻擊的點。不過漏洞掃描工具只能發(fā)現(xiàn)攻擊點，而不能夠主動起到防御SQL注入攻擊的作用。當然這個工具也經(jīng)常被攻擊者拿來使用。如攻擊者可以利用這個工具自動搜索攻擊目標并實施攻擊。為此在必要的情況下，企業(yè)應當投資于一些專業(yè)的漏洞掃描工具。一個完善的漏洞掃描程序不同于網(wǎng)絡掃描程序，它專門查找數(shù)據(jù)庫中的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發(fā)現(xiàn)的漏洞。所以憑借專業(yè)的工具，可以幫助管理員發(fā)現(xiàn)SQL注入式漏洞，并提醒管理員采取積極的措施來預防SQL注