Nginx防止SQL注入攻击配置方法

时间：2022-06-30 18:58:41 编辑：袖梨来源：一聚教程网

防御原理：

1. 通过以上配置过滤基本的url中的注入关键字；
2. 当然，数据库中的用户密码得加密存放；
3. php程序进行二次过滤，过滤GET和POST变量中的关键字；
4. 生产环境关闭PHP和MySQL的错误信息。

SQL注入攻击一般问号后面的请求参数，在nginx用$query_string表示

例如，对于参数中带有单引号的'进行匹配然后定向到错误页面， /plus/list.php?tid=19&mid=1124'

代码如下	复制代码
rewrite ^.([;']). /error.html break;

直接写这样的一条重写肯定不会正确匹配，因为rewrite参数只会匹配请求的uri，也就是/plus/list.php部分。
需要使用$query_string 借助if进行判断，如果查询串种包含特殊字符，返回404。

代码如下	复制代码
if ( $query_string ~* ".[;']." ){return 404;}

对一些联合进行设置

代码如下

复制代码

if ($request_uri ~* "(cost()|(concat()") {
return 404;
}
if ($request_uri ~* "[+|(%20)]union[+|(%20)]") {
return 404;
}
if ($request_uri ~* "[+|(%20)]and[+|(%20)]") {
return 404;
}
if ($request_uri ~* "[+|(%20)]select[+|(%20)]") {
return 404;
}

if ( $query_string ~* ".*[;'].*" ){
return 404;
}

下面分享一个禁止文件注入的方法

代码如下	复制代码
## 禁掉文件注入 set $block_file_injections 0; if ($query_string ~ “[a-zA-Z0-9_]=http://”***) { set $block_file_injections 1; } if ($query_string ~ “[a-zA-Z0-9_]=(..//?)+”) { set $block_file_injections 1; } if ($query_string ~ “[a-zA-Z0-9_]=/([a-z0-9_.]//?)+”) { set $block_file_injections 1; } if ($block_file_injections = 1) { return 444; }

防止注入的方法有很多这里就不一一介绍了，大家可参考参考。

推荐专题

最新下载

热门教程

Nginx防止SQL注入攻击配置方法

相关文章

热门栏目

php教程

asp.net教程

手机开发

css教程

网页制作

办公数码

jsp教程