PHP网站数据库中的NoSQL注入技术



          nosql是一种数据库,应用于PHP代码开发的网站中,在这两年的快速发展中,应用很广

泛,在安全方面nosql也存在着sql注入攻击的情况,我们查了一下近两年
的漏洞,发现该NoSQL

漏洞,有几百条的记录,都是千篇一律,相同的安全漏洞信
息,大多数针对于nosql的注入技术

介绍的很少,很少,下面给大家普及一下关于
nosql注入的技术。
 
 
nosql数据库的设计与开发,比mysql数据库,sql数据库都简单、高效,性能上尤其在关系存储

数据库方面有了更快的查询以及读写,nosql使用的sql语句跟之前的
mysql不尽相同,但是还是

会受到sql注入攻击的影响。nosql数据库中,内置了安
全过滤,过滤的都是一些特殊字符像%、

&、*、之类的简单过滤,并没有防止sql注
入的攻击。
 
 
nosql注入分很多种
 
nosql联合注入nosql也存在着联合查询导致拼接构造成的注入语句,在PHP开发的网站里都存在

着这种现象与问题,在查询与读取数据过程中,都是一个对象或者是
组的一个方式。Sine安全公

司是一家专注于:网站安全、服务器安全、网站安全检
测、网站漏洞修复,渗透测试,安全服务于一

体的网络安全服务提供商。

 
 
 
javascript注入,在数据库中where语句操作符是可以执行JS语句的,像操作符里的map group等

的命令都可以访问到一些系统的函数,在PHP网站里,尤其用户的登
录会出现这种注入方式,可

以进行sql注入攻击。
 
 
以上两种就是比较常见的nosql注入,那么如何防范sql注入攻击呢?
 
从注入攻击的实战发现,与之前的防sql注入攻击思路基本差不多,过滤一些安全危险的参数,以

及一些sql语句过滤,来防止。像javascript注入,限制where、
group等操作符参数的使用,程序

代码里确实要用到,那没办法只能是把执行的sql
语句写到javascript的配置文件里来使用。给

nosql数据库的普通用户权限,禁止
越权操作,限制数据库账号执行系统命令。
分享: