centos exploit如何防范SQL注入

在 CentOS 上防范 SQL 注入的实用方案

一 应用层防护是根本

• 使用参数化查询/预编译语句（Prepared Statements/PDO/MySQLi），严禁字符串拼接 SQL。示例：
  • PHP PDO：$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :u"); $stmt->bindParam(':u', $username); $stmt->execute();
  • Python：cursor.execute("SELECT * FROM users WHERE username = %s", (username,))
• 对输入实施白名单验证（类型、长度、格式、范围），拒绝含危险字符的请求；对富文本使用输出编码，避免二次注入。
• 实施最小权限原则：应用连接数据库使用专用低权账号，禁止 DROP/CREATE/ALTER 等高危权限；为不同业务分配最小必要库表权限。
• 统一错误处理：生产环境关闭错误回显，记录详细错误到日志，向用户展示通用错误提示，防止泄露表结构、路径等敏感信息。
• 使用安全的数据库连接：启用 SSL/TLS 加密，防止凭据与数据在传输中被窃听或篡改。

二 服务器与数据库加固

• 保持系统与软件更新：及时安装 CentOS 与中间件/数据库/语言运行时的安全补丁，修复已知漏洞。
• 配置防火墙：仅开放必要端口（如 80/443 对外，3306 仅内网/管理网可达）；对数据库访问实施来源 IP 白名单。
• 数据库网络与账户安全：数据库默认仅本地监听；远程管理通过SSH 隧道/跳板机；禁止应用以 root 直连；定期轮换口令并限制连接来源。
• Web 服务器安全配置：禁用目录浏览、隐藏版本信息、限制请求方法、开启访问与错误日志，并对上传目录做执行权限限制。

三 部署 WAF 作为纵深防御

• 在 Apache 上部署 ModSecurity + OWASP Core Rule Set（CRS），可识别并阻断常见 SQL 注入 模式；必要时将规则动作设为 deny,status:403 直接拦截。
• 注意：WAF 属于辅助手段，规则更新滞后或误报/绕过均可能发生，不能替代代码层面的参数化与输入校验。

四 安全测试与持续监控

• 使用 sqlmap 在授权前提下进行漏洞扫描与验证（如：sqlmap -u "http://example.com/item?id=1" --dbms=mysql），覆盖 GET/POST、Cookie、Header 等向量；切勿用于未授权目标。
• 建立日志集中与告警：收集 Web/DB 日志，对频繁触发 SQL 注入规则的来源 IP 进行封禁与取证；定期备份与演练恢复。

五 快速检查清单