SQL 注入是最常见和最基本的网络攻击类型之一。不幸的是,SQL 注入也是应用程序可能面临的最具破坏性的威胁之一。这些攻击经常导致数据丢失,对共享数据库的基础设施尤其危险。本文介绍了 如何防止 SQL 注入。请继续阅读以了解什么是 SQL 注入、这些攻击的工作原理以及公司采取哪些步骤来保护其数据库免受恶意注入。,, 什么是 SQL 注入攻击?,SQL 注入 (SQLi) 是一种网络攻击,黑客通过应用程序运行恶意 SQL 语句来操纵数据库。这些攻击会影响任何依赖 SQL 数据库(MySQL、Oracle、Sybase、Microsoft SQL Server、Access、Ingres 等)的网站或 Web 应用程序。,我们的 MySQL 命令备忘单 概述了掌握此 RDBMS 所需的最重要命令。,SQLi 的后果从轻微到严重不等。在注入之后,黑客可以:,伤害的程度取决于攻击者的能力。受害者可能会遇到从几个数据库错误到完全接管 Web 服务器的任何事情。, 如何防止 SQL 注入攻击?,企业可以采取多种有效措施来防止 SQLi 攻击。, 消毒输入,输入清理(或验证)是检查和过滤用户输入的做法。这种技术确保应用程序可以识别非法用户输入和危险的可执行文件。,开发人员可以通过三种方式清理输入:,通常,白名单比黑名单更简单、更安全。聪明的黑客可以找到绕过黑名单的方法,因此请尽可能使用白名单验证用户输入。,另一个好的做法是使用下拉菜单和单选按钮验证用户输入。这些输入字段可防止用户输入输入并停止注入可执行代码。, 参数化 SQL 代码,参数化查询要求开发人员首先定义所有 SQL 代码,然后将每个参数传递给查询。这种编码风格使数据库能够区分代码和数据,这是动态 SQL 查询无法实现的功能。,参数化 SQL 代码可防止攻击者更改查询的意图,即使他们插入了命令。例如,如果黑客输入用户 ID ‘1’=’1,则查询将查找与整个’1’=’1 字符串匹配的用户名 。数据库不会将查询作为命令接受。, 限制用户权限,采用 零信任安全性 并将用户限制为他们执行角色所需的最低限度的权限。具有读写执行权限的帐户越少越好。,例如,如果一个网站只返回数据库内容与 SELECT 声明,不授予连接其他特权,比如 INSERT, UPDATE或者 DELETE。,另一个好的做法是不信任所有用户输入。以与来自外部和第三方来源的输入相同的方式处理来自内部用户的输入。此外,永远不要让 Web 应用程序以管理员权限连接到数据库。, 设置防火墙,使用 Web 应用程序防火墙 (WAF) 过滤 Web 应用程序和数据库之间的所有流量。防火墙保护所有面向 Web 的应用程序,因此设置防御以阻止 SQLi 和类似的网络攻击。, 定期测试,运行安全测试以检查数据库和相关应用程序的弹性。定期测试对于发现所有网络攻击的漏洞至关重要。考虑运行:,加密数据库中的所有私人和机密数据。如果攻击者设法泄露敏感数据,加密还提供了额外的保护级别。, 不向用户显示数据库错误,数据库错误消息绝不能显示在客户端 Web 浏览器上。攻击者可以使用错误消息中的技术细节来调整查询以实现成功注入。,不要显示带有有用信息的错误消息,而是设置简单的基于单词的错误消息,为给您带来的不便表示歉意。, 培训和维护 SQLi 意识,防止 SQL 注入是一项团队工作,所有员工都必须知道网络安全的重要性 。为所有开发人员、QA 人员、系统管理员和DevOps提供合适的安全培训 。, 虽然很危险,但 SQLi 攻击很容易预防,尽管 SQL 注入可能具有破坏性,但组织良好的公司永远不应成为这些攻击的受害者。设置适当的预防措施并确保您的数据库能够抵抗 SQL 注入。, ,SQL 注入是最常见和最基本的网络攻击类型之一。不幸的是,SQL 注入也是应用程序可能面临的最具破坏性的威胁之一。这些攻击经常导致数据丢失,对共享数据库的基础设施尤其危险。本文介绍了 如何防止 SQL 注入。请继续阅读以了解什么是 SQL 注入、这些攻击的工作原理以及公司采取哪些步骤来保护其数据库免受恶意注入。,SQLi 的后果从轻微到严重不等。在注入之后,黑客可以:,
技术和互联网已成为我们日常、学术和职业生活的核心。这就是为什么同时存在的网站和应用程序的绝对数量不足为奇的原因。如果您是一家企业,您会希望拥有一个相关的网络平台。应用程序使您能够轻松地向目标客户推销和交付您的服务。无论您创建Web 应用程序的原因是什么,您都需要确定如何构建它。在选择最佳服务器设置时,您可以使用多种选择。您选择的服务器架构将决定您如何运行和管理环境中的所有内容。这就是为什么必须在仔细考虑后做出决定的原因。,, 如何选择正确的服务器设置,那么您如何确定哪种架构“适合”您的应用程序?为此,您需要首先考虑您的 Web 应用程序的要求是什么。您必须加入某些功能才能使其在您的特定用例中有效工作。例如,也许您正在努力开发易于扩展的应用程序。或者,您可能需要您的应用程序在浏览器和移动设备上流畅运行。同时,您的预算也可能是您最关心的问题。,无论您的要求是什么,您都应该知道您可以为您的应用程序创建自定义解决方案。在本教程中,我们将探索许多人通常用于其 Web 应用程序的各种类型的服务器。我们将讨论各种用例以及何时最好使用某种设置。为了帮助您确定它是否适合您,我们还将为您提供每种服务器架构的一些优缺点。, 1. 一切都在一台服务器上,顾名思义,您将整个环境加载到一个单一的服务器上。环境将包括您的 Web 服务器、应用程序服务器以及数据库服务器。例如,它适用于Linux、Apache、MySQL和PHP (LAMP) 堆栈配置。您可以按照我们的教程了解如何在 Ubuntu 服务器上安装 LAMP 堆栈以及如何在 CentOS 上安装 LAMP 堆栈。, 何时使用:如果您的时间不多,这种类型的安排效果最好。设置简单快捷。这就是为什么它适用于简单的 Web 应用程序。, 好处:简单易懂,易于实现。只需很少的时间即可完成整个设置。, 缺点:不允许水平可扩展性。在组件隔离方面提供的很少。应用程序和数据库本质上在争夺相同的资源,因为它们位于单个服务器上。因此,您可能会遇到性能不佳的情况。,, 2. 单独的数据库服务器,使用单个服务器的主要问题是对有限资源的竞争。此设置旨在解决该问题。在这里,数据库管理系统或 DBMS与应用程序服务器保持分离。数据库服务器在私有网络中,拥有自己的资源。这会带来更好的性能和更高的安全性。, 何时使用:同样,如果您想部署快速设置,配置起来非常简单。如果您担心数据库和应用程序争夺相同资源,这是理想的解决方案。, 好处:应用程序和数据库的单独、专用系统资源,包括 CPU、内存、I/O 等。在应用程序和数据库层中的任何一个层都具有更大的可扩展性潜力。您可以根据需要添加和删除资源。如果您从公共互联网上删除数据库,您也可以提高安全性。, 缺点:比单个服务器设置复杂一点。两台服务器之间的低带宽或高延迟网络连接会产生性能问题。, 3.反向代理或负载均衡器,这就是负载平衡器出现的地方。负载平衡器通常用于服务器环境以提高性能和可靠性。他们通过“平衡负载”来做到这一点;即跨服务器阵列分配工作负载。, 何时使用:当您需要执行水平扩展时,负载平衡器非常有用。水平扩展基本上意味着向环境添加更多服务器。您还可以使用应用程序层反向代理,使用一个域和端口同时为多个应用程序提供服务。HAProxy、Nginx和Varnish是允许反向代理负载平衡的软件示例。, 好处:如果线路中的一台服务器出现故障,其他服务器会通过平衡工作负载来补偿其功能。允许您执行水平扩展以增加或减少环境的容量。它还限制客户端连接,以防止 DDOS 攻击。, 缺点:如果系统资源不足,负载均衡器可能会限制应用程序的性能。需要适当的配置以确保适当的性能。比单个服务器或单独的服务器设置复杂得多。您需要考虑 SSL 终止和需要粘性会话的应用程序等因素。使用负载平衡器的主要问题是它是单点故障。这意味着如果负载均衡器无法正常工作,您的整个服务就会宕机。,, 4. HTTP 加速器或缓存反向代理,这是一种设置,可用于提高向应用程序用户交付内容的速度。它采用各种技术来减少这个时间。最重要的一个是缓存来自应用服务器的响应。当用户第一次请求内容时,加速器将内容保存在其内存中。因此,当任何类似的未来请求进来时,它无需与应用程序服务器交互即可快速提供内容。Nginx、Varnish 和Squid都能够进行HTTP 加速。, 何时使用:可以理解,这种设置最适合用户频繁请求的文件和内容。它也适用于内容丰富的动态 Web 应用程序。, 好处:缓存和压缩显着提高了应用程序和请求处理的速度。减少 CPU 上的负载还可以提高站点性能。您还可以将其用作反向代理负载平衡器。, 缺点:您必须对其进行很好的调整才能发挥其最佳性能。如果缓存命中率较低,您可能会遇到性能不佳的情况。, 5. 主副本数据库复制,主副本数据库复制设置通常对于执行读取多于写入的系统非常有用。例如,内容管理系统可以真正利用这样的架构。您需要一个主节点和一个或多个复制节点进行复制。它将读取分布在所有节点上。更新仅发送到主节点。, 何时使用:就像我们提到的,基于复制的数据库设置有助于提高系统的读取性能。您可以将它用于 CMS 等应用程序。, 好处:它提高了数据库的读取性能,因为它将数据库分布在副本中。如果只使用主节点进行更新,还可以提高写入性能。, 缺点:任何尝试访问数据库的应用程序都必须能够决定向哪个节点发送更新和读取请求。如果主副本失败,更新将停止。您必须解决该问题才能继续进行更新。没有故障转移机制来适应潜在的主节点故障。, 组合使用服务器设置,幸运的是,您也可以结合各种技术来获得所需的结果。这意味着您可以在单个环境中对应用程序服务器和缓存服务器进行负载平衡并复制数据库。这样做可以让您充分利用两台服务器的功能。但是,它不会使设置变得更加复杂或麻烦。, 例子:我们将尝试通过一个例子来理解这样的环境:在这样的环境中,负载均衡器会向缓存服务器发送静态请求。静态内容包括 CSS、图像和 Javascript 等。它会将任何其他类型的内容请求定向到应用程序服务器。,, 假设用户从环境中请求一些静态内容。下面是会发生的事情:,负载均衡器将首先确定内容是缓存命中还是缓存未命中。缓存命中的内容存在于缓存中,而缓存未命中的内容不存在。它通过检查缓存后端来实现。如果缓存命中,负载均衡器会将内容发送给用户。如果是缓存未命中,缓存服务器会将请求转发到应用程序的后端。应用后端将从数据库中查找并发送内容。缓存后端从负载均衡器接收内容。它还会缓存此内容,然后再将其返回到负载平衡器。后者然后将响应转发给用户。, 另一方面,如果用户请求动态内容,将会发生以下情况:,请求将从用户传入负载均衡器。此请求到达应用程序后端。应用后端定位请求的内容并将其返回给负载均衡器。用户接收内容。这种组合环境的主要好处之一是它更可靠。不仅如此,它还具有超强的性能。但是,仍然存在两个单点故障——负载平衡器和主数据库服务器。, 结论,您可以在您的环境中单独使用每个服务器设置。另一方面,您也可以将它们组合在一起以创建个性化的解决方案。没有“正确”的答案。这一切都取决于您希望从架构中提取的功能。掌握有关每个服务器设置如何工作的基础知识将有助于您为自己的应用程序做出决定。最好的办法是从小而简单的开始。随着经验的积累,您可以不断增加设置的复杂性。, ,技术和互联网已成为我们日常、学术和职业生活的核心。这就是为什么同时存在的网站和应用程序的绝对数量不足为奇的原因。如果您是一家企业,您会希望拥有一个相关的网络平台。应用程序使您能够轻松地向目标客户推销和交付您的服务。无论您创建Web 应用程序的原因是什么,您都需要确定如何构建它。在选择最佳服务器设置时,您可以使用多种选择。您选择的服务器架构将决定您如何运行和管理环境中的所有内容。这就是为什么必须在仔细考虑后做出决定的原因。, 1. 一切都在一台服务器上,
应用程序编程接口 (API) 是一组规则,使软件程序能够将数据传输到另一个软件程序。API 使开发人员能够避免冗余工作;与构建和重建已经存在的应用程序功能不同,开发人员可以通过按照 API 要求格式化请求,将现有功能整合到他们的新应用程序中。,API 是一种“接口”,意思是一种事物与另一种事物进行交互的方式。作为一个真实的例子,ATM 有一个界面——一个屏幕和几个按钮——允许客户与他们的银行互动并请求服务,比如取钱。同样,API 是一个软件如何与另一个程序交互以获得所需服务的方式。,,想象一下,詹妮弗建立了一个网站,帮助通勤者在上班前检查公路交通。Jennifer 可能会花费大量时间和金钱来建立一个复杂的高速公路跟踪系统,以将这些信息提供给她网站的用户。但是这些能力已经存在,因为外部各方已经创建了这样的系统。Jennifer 的网站没有以这种方式重新发明轮子,而是使用由外部高速公路跟踪服务提供的 API。现在 Jennifer 可以专注于构建网站的其他方面。,API 调用,也称为 API 请求,是指向触发 API 使用的 API 的消息。回顾该示例,Jennifer 构建她的网站时,它会在加载时自动生成对高速公路跟踪服务的 API 调用。响应从该服务返回到网站,并使其能够显示最新的高速公路交通信息。,API 调用必须按照 API 的要求进行格式化才能工作。API 的要求称为其“架构”。该模式还描述了提供给每个请求的响应类型。,假设一位通勤者使用 Jennifer 的网站检查 192 号高速公路上的交通情况。该网站发送一个 API 调用来提供此信息 — 一条消息,内容为“192 号高速公路”。高速公路跟踪服务的 API 服务器收到此消息并回复 192 号高速公路上的行驶时间。想象一下 API 的架构是这样的:,(请注意,这是一个高度简化的示例——现实世界的 API 请求、响应和模式更为复杂。),现在假设 Jennifer 的网站向“Highway ASDFGHJ”发送 API 请求。这不是一个有效的请求,因为它不符合 API 的模式,它只允许高速公路的实际名称。服务器将无法对此类请求提供可用的响应。,端点是通信通道的末端。每个通信渠道都至少有两个端点,就像现实生活中的对话至少包括两个人一样。API 端点是 API 调用或响应源自的地方。,在示例中,API 连接的一个端点是 Jennifer 的网站,另一个是托管 API 的服务器。 Jennifer 的 API 调用必须转到 API 服务器负责 的某个 URL(URL 是一个网址 )才能获得响应。,API 集成是使用 API 的两个或多个应用程序的组合。API 集成使一个应用程序能够从另一个应用程序的功能中受益,就像将销售团队和营销团队结合在一个办公室中可以使这两个团队一起工作并从彼此的努力中受益一样。API 集成也常用于在两个应用程序或数据库之间同步数据。,任何涉及计算机代码的东西都可以有一个 API,从操作系统到软件库。Web API 专门供通过 Internet 访问的 Web 应用程序使用。,Web API 对于现代互联网来说非常重要。几乎所有面向用户的应用程序都依赖 API 来运行(不仅仅是 Jennifer 的网站!)。整个软件开发理念都依赖于 API 的使用——其中一种理念是JAMstack,JAM 代表 JavaScript、API、标记。另一个例子是微服务架构,它使用 API 来调用构成应用程序的不同功能。即使没有这些方法构建的应用程序通常也依赖于 API。,SOAP API 和 REST API 描述了不同类别的 API。,SOAP(简单对象访问协议)是一种协议。SOAP API 是仅使用 SOAP 协议的 API。,REST(REpresentational State Transfer)是一种 Web 服务的架构风格。REST API 是使用 REST 架构构建的任何 API。与 SOAP API 不同,REST API 可用于任何协议。今天的大多数...
谁可以从使用 CDN 中受益?任何拥有可能同时被多个用户请求的网站或移动应用程序的人都可以从 CDN 中受益。它们对于用户遍布全球的大型复杂网站以及具有大量动态内容的网站或移动应用程序特别有用。CDN 可以为您的网站提供的一些好处包括:,,CDN 还为不同类型的企业和组织提供了许多特定的好处,例如:,CDN 自 1990 年代后期就已存在,但传统 CDN 通常落后于硬件和技术的进步,并且无法提供与现代 CDN 相同的优势。通常,这些遗留 CDN 不是内置的敏捷软件环境,在这种环境中,公司不断迭代产品、整合客户反馈并改进产品。这些 CDN 已经存在了五年或更长时间,没有太大变化,并且现代 CDN 已经改进了严重的低效率:, 仅缓存静态内容,传统 CDN 只能缓存静态内容,这相当简单,因为它不会根据用户输入而改变。静态内容的一些示例包括图像、视频、CSS 和 Javascript。另一方面,动态内容包括需要服务器逻辑的频繁更改的内容——例如,信用卡交易或电子商务网站上个人购物车的更新。动态内容通常被归类为“不可缓存”,因为由于数据的敏感性,它必须通过源服务器。,这在某种程度上是正确的。有很大一部分动态内容可以缓存——不包括个人数据但仍然不可预测且经常更改的内容。这种动态内容是事件驱动的——基于人或机器的动作。想想股票价格、用户对文章的评论、需要立即更新的新闻标题或体育比分。大多数 CDN 将此内容视为“不可缓存”,就像对待其他动态内容一样,但它实际上可以被缓存。, 边缘有限的存储空间,传统 CDN 只能为客户提供有限的边缘空间,因为它们主要依赖旋转硬盘驱动器。这意味着他们必须优先考虑哪些内容缓存在边缘,哪些内容缓存在更远的地方。这通常意味着较大的网站优先于较小的网站。或者,现代 CDN 建立在大型固态驱动器 (SSD) 网络上,可以在边缘缓存所有内容,因此所有客户都能从中受益。, 客户提示的代理,现代 CDN 的另一个主要好处是反向代理。使用传统的 CDN,客户需要在第一时间将他们的内容直接上传到缓存服务器。现代 CDN 根据请求从客户的源服务器获取和存储内容,因此无需预先加载缓存服务器。使用传统 CDN 的网站通常被迫在源服务器上保留动态内容,这可能会导致流量高峰和性能下降,从而违背了拥有 CDN 的初衷。,CDN 已经存在很长时间了,但它们的构建方式不尽相同。虽然边缘云平台通过将事物移动到边缘来超越传统的内容交付网络,但存在更多根本差异;CDN 制定自己的关于如何提供网络流量的规则并不少见,因为在定义 HTTP 时 CDN 并不存在。为了改善这一点,我们正在与其他平台合作,以标准化 CDN 的基本协议处理。,不久前,安全研究人员注意到了一段时间以来一直在关注内容交付网络 CDN 工程师的问题;可以将相互竞争的 CDN 指向彼此以将它们关闭。来自内容交付网络中转发循环攻击的摘要:,恶意客户可以通过在一个 CDN 内或跨多个 CDN 创建转发循环来攻击内容交付网络 (CDN) 的可用性。这种转发循环会导致重复甚至无限期地处理一个请求,从而导致不希望的资源消耗和潜在的拒绝服务攻击。为了评估此类转发循环攻击的实用性,我们检查了 16 个流行的 CDN 提供商,发现它们都容易受到某种形式的此类攻击。,由于许多 CDN 的规模庞大——全球每个 CDN 的链接容量为每秒 TB——这可能是一个非常可怕的问题。无论是故意攻击还是意外配置错误,都可能会因相关 CDN 而导致互联网的大部分瘫痪。事实上,最近与我讨论这个问题的一位 CDN 工程师说,这是“让他彻夜难眠”的问题之一。,许多CDN的边缘云平台已经具备环路保护机制,通常通过使用标头来识别已经看到的请求。问题是这些解决方案彼此之间没有协调,因此一个 CDN 可能被配置为有意或无意地删除另一个 CDN 的循环检测标头。正确配置的 CDN 还可以帮助保护网站免受一些常见的恶意攻击,例如分布式拒绝服务 (DDOS) 攻击。,我们想要更好的东西,所以我们开始与其他 CDN 以及内容平台的同事交谈。结果是HTTP 工作组中针对CDN-Loop 请求标头的一个小规范,两周前互联网工程指导组(IESG)批准将其作为标准轨道 RFC 发布。这是一个非常简单的机制。实施 CDN 需要在他们发出的每个请求中添加它,并保护它免受意外(或不太意外)的修改,以便他们可以更可靠地检测和缓解此类循环——即使循环涉及多个 CDN。我们对向前迈出的这一小步感到非常高兴,因为这是改变的标志;从早期开始,CDN 之间就此类问题没有进行太多协调,更不用说为我们的客户提供一致的体验了。因此,虽然规模很小,但它是重要的一步,因为它标志着一个愿意合作的行业。, ,谁可以从使用 CDN 中受益?任何拥有可能同时被多个用户请求的网站或移动应用程序的人都可以从 CDN 中受益。它们对于用户遍布全球的大型复杂网站以及具有大量动态内容的网站或移动应用程序特别有用。CDN 可以为您的网站提供的一些好处包括:,传统 CDN 只能缓存静态内容,这相当简单,因为它不会根据用户输入而改变。静态内容的一些示例包括图像、视频、CSS 和 Javascript。另一方面,动态内容包括需要服务器逻辑的频繁更改的内容——例如,信用卡交易或电子商务网站上个人购物车的更新。动态内容通常被归类为“不可缓存”,因为由于数据的敏感性,它必须通过源服务器。,
Web应用程序安全性是任何基于Web的业务的重要组成部分。互联网的全球性使Web属性暴露于来自不同位置、规模和复杂程度不同的攻击。Web应用程序安全性专门处理围绕网站、Web应用程序和Web服务(例如API)的安全性。,, 什么是常见的Web应用程序安全漏洞?,攻击Web应用程序的范围从针对性的数据库操纵到大规模的网络中断。让我们探讨一些常用的攻击方法或常用的“手段”。, 防护漏洞的最佳实践是什么?,保护Web应用程序免遭利用的重要步骤包括:使用最新加密,要求合适的身份验证,不断修补发现的漏洞,以及拥有健康的软件开发环境。而现实情况是,即使在相当强大的安全环境中,较聪明的攻击者仍有可能找到漏洞,因此建议采用全方位的安全策略。,可以通过防御 DDoS、应用程序层和 DNS 攻击来提高Web应用程序的安全性:, WAF —— 防御应用程序层攻击,Web应用程序防火墙,或简称 WAF,帮助保护Web应用程序免受恶意 HTTP 流量的攻击。通过在目标服务器和攻击者之间设置过滤屏障,WAF 可以防御跨站点伪造、跨站点脚本编写和 SQL 注入等攻击。, DDoS 缓解,破坏Web应用程序的一个常用方式是使用分布式拒绝服务(DDoS)攻击。通过多种策略在不影响服务性能的情况下缓解 DDoS 攻击,包括在我们的边缘丢弃容量耗尽型攻击的流量,以及使用我们的 Anycast 网络来适当路由合法请求。, DNS安全 —— DNSSEC保护,域名系统(DNS)是互联网的电话簿,它指代互联网工具(例如 Web 浏览器)查找正确服务器的方式。恶意攻击者试图通过DNS 高速缓存中毒、在途攻击以及其它干扰 DNS 查询的生命周期的方法来劫持 DNS 请求过程。如果 DNS 是互联网的电话簿,则 DNSSEC 是不可欺骗的呼叫者 ID。, ,Web应用程序安全性是任何基于Web的业务的重要组成部分。互联网的全球性使Web属性暴露于来自不同位置、规模和复杂程度不同的攻击。Web应用程序安全性专门处理围绕网站、Web应用程序和Web服务(例如API)的安全性。,保护Web应用程序免遭利用的重要步骤包括:使用最新加密,要求合适的身份验证,不断修补发现的漏洞,以及拥有健康的软件开发环境。而现实情况是,即使在相当强大的安全环境中,较聪明的攻击者仍有可能找到漏洞,因此建议采用全方位的安全策略。,
国外主机测评 - 国外VPS,国外服务器,国外云服务器,测评及优惠码
