防止SQL漏洞的最佳策略

由于管理SQL注入頗為復雜，并且使漏洞利用過程自動化的大量工具幾乎都可免費獲得，所以惡意攻擊者將繼續利用SQL注入漏洞對付面向公眾的網站，作為其獲取關鍵基礎架構系統和網絡的一種方式。

與其它網絡漏洞利用的復雜方法相比，SQL注入所使用的技術相對易于學習。它易于實施，但其造成的危害卻可能會使系統完全癱瘓，面向互聯網的企業仍極易遭受這種攻擊。訪問遭受損害網站的訪問者有可能無意識中安裝了惡意代碼，并被重定向到一個惡意網站，損害其系統中的其它漏洞，或其系統被用于攻擊第三方網站。受感染數據的業務價值和敏感性決定了SQL注入損害的長期影響，并隨著每個被損害對象和每次損害而變化。由于這些漏洞的持續流行，如今的有許多工具都可以使SQL漏洞的利用更容易，這些工具的傳播對于理解關鍵基礎架構的當前風險非常有益。

一個案例

A公司有一個存在多年的購物網站，當然，其多數客戶使用的是一個更新的更安全的網站。在搭建新網站時，許多客戶并不遵循新網站的數據處理和加密需求，所以老購物網站被用于適應這些客戶。

隨著越來越多的客戶使用新網站，在服務等級合約到期后，對老網站的維護也就終止了。此外，由于多數通信被集中到新網站，管理員開始將其努力更多地放在新網站，最終完全忘記了老的購物網站。但是，它仍位于互聯網上，企業也不再管理它，不為它打補丁，幾乎把它忘掉，但它仍有連接到內部網絡的關鍵連接。……