SQL注入攻击-权限防御

Question

SQL注入攻击由攻击者将有效的SQL放入从页面返回到服务器的文本中；类似于"Delete * from tblAccounts where 1=1“，我无法理解的是，为什么不能通过授予web用户的帖子作为只读权限运行的帐户来阻止这种攻击。不仅如此，只在你想让他读的表上读，而且不能访问任何其他的表。在过去，可以在数据库中授予非常细粒度的权限，直到行级别。

Answer 1

SQL注入将新的SQL命令添加到网站用于检索/更新/向数据库添加数据的命令中。由于几乎所有使用数据库的网站都需要在其中写入一些表，攻击者总是可以在其中添加数据。

更重要的是，大多数情况下，数据库保存的信息不是所有网站的用户都可以使用的(例如，带有用户名、电子邮件地址和密码(-hashes)的用户表)。网站本身使用的表格(因此需要访问)

当深入应用安全性时，您确实会锁定网站只用于访问网站所需访问权限的数据库用户(视需要而定)--这并不能消除注入的风险，只会限制其传播的范围。但是，当SQL注入未减轻时，网站上可用的所有表都可供注入用户使用。