欧美乱码精品一区二区三区,风流少妇又紧又爽又丰满,被债主在夫面前人妻被强,国产精品视频永久免费观看

在數(shù)據(jù)庫面臨的安全威脅中，來自外部的安全攻擊，除利用數(shù)據(jù)庫自身的安全漏洞進(jìn)行漏洞攻擊之外，另一種比較常見的方式就是SQL 注入攻擊。目前很多用戶存在誤區(qū)：認(rèn)為傳統(tǒng)部署的WAF可以防御此類攻擊，實(shí)則不然。這里我們簡單分析一下方SQL注入攻擊的技術(shù)原理。

實(shí)際上WAF無法對各種SQL注入的繞過手段進(jìn)行窮舉；因此WAF提供了各種擴(kuò)展，以幫助用戶根據(jù)實(shí)際情況進(jìn)行規(guī)則擴(kuò)展，以應(yīng)對各種新的攻擊，不如黑名單策略；但大量的規(guī)則將使WAF的性能大幅下降，進(jìn)而影響整個(gè)系統(tǒng)的性能；同時(shí)可能還會造成某些誤殺。

因此更有效的方法是在WEB應(yīng)用和數(shù)據(jù)庫之間加入數(shù)據(jù)庫防火墻。數(shù)據(jù)庫防火墻對從WEB應(yīng)用發(fā)向數(shù)據(jù)庫的SQL語句進(jìn)行語法解析，對符合SQL注入特征的攻擊行為進(jìn)行告警和阻斷。

下面是加入了防火墻后的拓?fù)浼軜?gòu)：

數(shù)據(jù)庫防火墻的防護(hù)策略、手段都是基于SQL協(xié)議解析而來；數(shù)據(jù)庫防火墻在防止SQL注入上徹底的解決了WAF以犧牲性能為代價(jià)的方式。數(shù)據(jù)庫防火墻和WAF配合使用的部署方式，將會使用戶的核心數(shù)據(jù)更加安全。

數(shù)據(jù)庫防火墻對SQL注入的防止，核心優(yōu)勢的之一在于它的部署位置，部署位置在應(yīng)用服務(wù)器之后。無論攻擊者采用了什么方式進(jìn)行SQL注入攻擊行為的包裝，最終發(fā)送到數(shù)據(jù)庫端的都是純凈的SQL語句。

數(shù)據(jù)庫防火墻的核心優(yōu)勢之二，它是通過SQL語法解析技術(shù)而不是正則匹配技術(shù)進(jìn)行SQL注入防御。通過SQL語法解析技術(shù)的性能更高，準(zhǔn)確度更高。

數(shù)據(jù)庫防火墻的核心優(yōu)勢之三，它具備綜合防御的手段，以幫助即使被注入后的安全損失降到最低點(diǎn)。

數(shù)據(jù)庫防火墻可以并通過以下四點(diǎn)實(shí)現(xiàn)整體的安全防護(hù)：

1.判斷語句是否含有明顯的SQL注入特征，有則阻止

2.語句的高危命令被發(fā)現(xiàn)，進(jìn)行告警或阻斷

3.語句訪問的對象是否屬于該用戶訪問權(quán)限，若無則阻斷

4.限制語句的返回行數(shù)，超過返回行則阻斷

加入數(shù)據(jù)庫防火墻后，數(shù)據(jù)庫防火墻會在數(shù)據(jù)庫之間獲取WEB應(yīng)用發(fā)送給數(shù)據(jù)庫的SQL語句。通過拿到的SQL語句，按照不同數(shù)據(jù)庫進(jìn)行SQL協(xié)議解析。

通過協(xié)議解析把應(yīng)用發(fā)送的SQL語句還原成標(biāo)準(zhǔn)模式（去掉各種加入的符號，轉(zhuǎn)譯碼等），攻擊者曾經(jīng)使用的可繞闊WAF的手法，在這里都將被干掉，將變?yōu)楦蛹儍舻腟QL語句。

基于這些純凈的SQL語句，與預(yù)定義的SQL注入特征進(jìn)行匹配，如：

· 常量表達(dá)式和注釋的組合

· 常量表達(dá)式和Union的組合

· 帶外函數(shù)的調(diào)用

· 拼接字符與or的組合

· 常用注入SQL函數(shù)等

除了SQL注入的特征的匹配外，一些高危的命令將被告警或阻斷，如truncate、drop、delete nowhere、insert nowhere等高危操作進(jìn)行阻斷；防止攻擊行為造成大的災(zāi)害事故。

同時(shí)，可以對應(yīng)用發(fā)來的SQL語句，進(jìn)行操作和對象的細(xì)粒度權(quán)限控制，可以防止應(yīng)用訪問一些敏感表；比如防止對SQL注入偵察階段常用的系統(tǒng)表的訪問。

即便有SQL注入被發(fā)送到數(shù)據(jù)庫端，數(shù)據(jù)庫防火墻也會通過行數(shù)控制來進(jìn)一步限制數(shù)據(jù)庫每次的返回結(jié)果行數(shù)，對于大批量的數(shù)據(jù)返回將進(jìn)行阻斷，比如我們可以將某些敏感表的返回行數(shù)設(shè)定為不允許超過100，從而把損失減到最小。

綜上，通過數(shù)據(jù)庫防火墻無疑比WAF對SQL注入的防止更加徹底，能夠真正防御SQL注入攻擊帶來的數(shù)據(jù)庫安全威脅。