如何预防sql注入攻击呢？

职业攻击者与普通攻击者的区别在于，职业攻击者更能理解SQL header。在严格关闭详细错误信息防御的情况下，普通攻击者会直接跳转选择下一个攻击对象。

利用SQL盲注漏洞的技术手段有很多。可以允许攻击者通过时间、响应和非主流渠道获取数据。SQL 查询发送一个简单的问题，返回真假并重复数千次。数据库中的SQL盲注漏洞很难被发现，因为它们隐藏在黑暗中。如果发现漏洞，它可以支持多种数据库和大量可用漏洞。考虑响应时间以及何时使用重量级非主流渠道工具。很明显，大多数 SQL 盲注漏洞都是自动化的，并且可以应用很多攻击。有图形界面、命令类型等，有了对SQL注入和盲注的基本了解，我们就可以开始进一步利用漏洞了。完成快速发现注入并修复漏洞。

那么我们呢？

1.定义了SQL盲注的位置。清除方法是：将无效数据返回到通用错误页面。这时候可以通过包含副作用（比如时间延迟），或者拆分和平衡参数来确认SQL注入。接下来，我们需要考虑漏洞的属性：是否可以强制执行错误和控制无错误页面的内容？

2.在SQL中询问一个位是1还是0可以推断出单个信息位。有许多推理技术可用于实现这一目标。

3.使用基于时间的技术睡眠类型函数或运行时间长的查询来引入延迟。逐位法或二进制搜索法提取数据并使用延迟来显示数据值。

通常，时间在 sqlserver 和 Oracle 上用作推理方法。但是，这种方法对于 MySQL 来说并不可靠，并且该机制可能会失败。但是，可以通过添加超时或其他技术来改进它。

4. 使用基于响应的技术，可以通过逐位或二进制搜索的方法提取数据，并用响应内容来表示数据值。

通常，插入子句包含在现有查询中。它保持查询不变或根据推断值返回空结果。基于响应的技术可用于各种数据库。在某些情况下，一个请求可以返回多位信息。

5.使用非主流渠道

带外通信的优点是以块的方式而不是位的方式提取数据在速度上有明显的提高。最常用的通道DNS。攻击者诱使数据库进行名称查找，其中包含攻击者控制的域名，并在该域名之前添加了一些要提取的数据。请求到达 DNS 名称服务器后，攻击者可以查看数据。其他通道还包括 HTTP 和 SMTP。不同的数据库支持不同的非主流渠道，支持非主流渠道的工具数量明显少于推理技术。

6.用SQL自动盲注

Bsqlacker 是另一种图形工具，它使用基于时间和基于响应的推理技术和标准错误从被询问的数据库中提取数据。虽然目前还处于测试阶段，还不是很稳定，但该工具具有良好的前景，并提供了大量的欺诈机会。Sqlrule 是一个命令行工具，适用于想要使用基于时间或响应的推理来利用固定漏洞的用户。 Sqlmap 将漏洞的发现和利用结合在一个强大的工具中，它支持基于时间的推理和基于响应的推理，以及ICMP 通道方法。该工具发展迅速，发展非常积极。

以上6点就是如何预防sql注入攻击的措施，希望能帮助到大家。