1、避免SQL注入的动机

近来教育职业的信息安全问题真是一波未平一波又起：连续发作多个高校网站体系被更改，影响恶劣;高校密布被爆SQL注入缝隙，触及80%以上的高校;教育职业成为电信欺诈的重灾区，据统计，上圈套学生占悉数上圈套人数的20%左右，乃至发作了大学生和准大学生上圈套导致含恨离世的人世惨剧;考试成绩被改，涉事人员被判;校园内部一卡通体系账目被改动;以及许多没有揭露的安全事情。

其间SQL注入缝隙问题，其实与多个事情是相关的。首要，黑客使用SQL注入缝隙拖库，构成数据走漏。黑客由此把握很多实在数据，倒卖给黑产，被用于施行电信欺诈;其次，SQL注入缝隙被使用，替换数据库内容，或许直接操控文件体系，更改网站体系;再次，使用SQL注入缝隙修正数据库内容，损坏数据一致性和实在性。

所以，防治SQL注入缝隙，是高校信息安全的重要工作，也是可以敏捷提高信息安全水平，尤其是数据安全水平的行动。

2、高校避免SQL注入的困难

(1)知道方面，对SQL注入缝隙要挟的后果严重程度知道缺乏;

(2)经费批阅，某些单位知道跟上了，可是没有当期预算，只好拖着;

(3)技能和产品方面，认为WAF和NGFW就能阻挠SQL注入。其实铲除SQL注入，不能仅依托WAF和NGFW。不然IMPERVA的产品为什么要有WAF和数据库防火墙?可是国内的数据库防火墙可选择地步有限。

(4)体系涣散，数据涣散，体系开发发布比较随意，安全测验严重缺乏;

(5)安全运维人力遍及严重缺乏，WAF和数据库防火墙的规矩装备质量难以确保。

3、可行的解决计划

整体思路是：选用体系安全扫描+WAF/NGFW+DB FIREWALL，彻底治愈SQL注入缝隙。

(1)体系安全扫描：选用商用体系缝隙扫描东西或许开源SQL注入缝隙扫描东西，检测体系SQL注入缝隙，在上线前尽量消除这些缝隙。

(2)WAF/NGFW。选用商业的或许开源的WAF/NGFW，部分阻挠SQL注入缝隙。

(3)数据库防火墙。由于SQL注入特征在数据库拜访SQL句子上会被扩大，然后，在数据库前端布置数据库防火墙，理论上可以彻底治愈SQL注入缝隙。

4、计划剖析

该计划胜败的中心问题之一在于数据库防火墙的规矩装备。假如没有装备出合理有用的规矩，数据库防火墙的防护才能将会大打折扣。针对教育职业，尤其是高校中信息体系运维人员较少的现实情况，又对规矩装备的简略易用性提出了很高的要求。鉴于此，数据库防火墙应该应供给依据主动学习的规矩装备方法，完成规矩零装备。

该计划胜败的另一中心问题是布置方法。由于在教育职业，尤其是高校的另一个实践问题是体系很多、数据涣散。依据教育职业等保定级辅导定见，高校信息体系中规划灵敏信息的体系有几十个之多。假如彻底选用硬件方法的数据库防火墙，将给实践的布置以及收购本钱带来压力。所以数据库防火墙最好可以以软件方法运转于校园现有服务器或虚拟环境之上，然后极削减计划的施行本钱。

5、数据库防火墙布置方法

方法一：硬件方法。将商业数据库防火墙硬件产品布置于数据库之前，构成对数据库中中心数据的维护。假如有多个数据库，可以用一台数据库维护多台数据库体系，而且最好选用双机热备的方法。

方法二：软件方法。将数据库防火墙以软件或许虚拟机的方法布置于独立的硬件之上，布置在数据库前端，构成对数据库中中心数据的维护。这种计划既适用于传统环境，又适用于虚拟环境。

[1] [2]  黑客接单网