书名:SQL注入攻击与防御 作者:(美)Justin Clarke 出版:清华大学出版社
▍内容介绍
原理剖析:详细讲解了 SQL 注入攻击是如何利用应用程序对用户输入数据的验证不足或处理不当的漏洞,通过在输入字段中插入恶意的 SQL 代码,从而操纵后台数据库执行非授权的任意查询,进而获取、篡改或删除数据库中的数据。
攻击技术:介绍了各种 SQL 注入攻击的方法和技巧,如基本注入、高级注入、时间延迟注入、错误消息注入、盲注、联合注入等,还包括如何查找代码中的 SQL 注入点,以及攻击者可能利用的各种要素。
防御策略:从代码层和系统层的角度,全面介绍了避免 SQL 注入的各种策略和需要考虑的问题,如输入验证、参数化查询、最小权限原则、错误处理、Web 应用防火墙、安全审计和代码审查等。
数据库平台:对 Oracle、SQL Server、MySQL 和 PostgreSQL 等常见数据库平台的 SQL 注入问题进行了深入探讨,针对不同平台的特点提供了相应的解决方案。
▍作者介绍
《SQL 注入攻击与防御》有两个版本,不同版本的作者
第 1 版:作者是克拉克(Justin Clarke)等,译者是黄晓磊、李化。克拉克是 Gotham Digital Science 公司的共同创办人和总监,该公司是一家安全顾问公司,为客户提供识别、预防和管理安全风险的服务。克拉克还为美国、英国和新西兰等地的大型金融、零售和技术客户提供软件服务,是很多计算机安全书籍的特约撰稿人,也是很多安全会议的演讲嘉宾和项目研究者2。
第 2 版:作者是克里斯托夫・帕尔(Christof Paar)、扬・佩尔茨尔(Jan Pelzl),译者是施宏斌、叶愫。
◆适用人群:适合从事网络安全、Web 开发、数据库管理等相关领域的专业人士阅读,也可以作为高校相关专业的教材或参考书籍。