Nginx中防止SQL注入攻击的相关配置介绍

更新时间：2016年01月06日 10:43:06 作者：mood

这篇文章主要介绍了Nginx中防止SQL注入攻击的相关配置介绍,文中提到的基本思路为将过滤的情况用rewrite重订向到404页面,需要的朋友可以参考下

防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。

对于简单的情况，比如包含单引号' , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。

用rewrite有个前提需要知道，一般用rewrite进行正则匹配只能匹配到网页的URI，也就是url中?前部分，?以后部分是请求参数。

问号后面的请求参数，在nginx用$query_string表示，不能在rewrite中匹配到，需要用if判断

例如，对于参数中带有单引号的'进行匹配然后定向到错误页面，

/plus/list.php?tid=19&mid=1124'

rewrite ^.*([;'<>]).* /error.html break;

直接写这样的一条重写肯定不会正确匹配，因为rewrite参数只会匹配请求的uri，也就是/plus/list.php部分。

需要使用$query_string 借助if进行判断，如果查询串种包含特殊字符，返回404。

if ( $query_string ~* ".*[;'<>].*" ){
return 404;
}

下面来分享一个配置文件实例：

server {
## 禁SQL注入 Block SQL injections
set $block_sql_injections 0;
if ($query_string ~ “union.*select.*(“) {
set $block_sql_injections 1;
}
if ($query_string ~ “union.*all.*select.*”) {
set $block_sql_injections 1;
}
if ($query_string ~ “concat.*(“) {
set $block_sql_injections 1;
}
if ($block_sql_injections = 1) {
return 444;
}
## 禁掉文件注入
set $block_file_injections 0;
if ($query_string ~ “[a-zA-Z0-9_]=http://”) {
set $block_file_injections 1;
}
if ($query_string ~ “[a-zA-Z0-9_]=(..//?)+”) {
set $block_file_injections 1;
}
if ($query_string ~ “[a-zA-Z0-9_]=/([a-z0-9_.]//?)+”) {
set $block_file_injections 1;
}
if ($block_file_injections = 1) {
return 444;
}
## 禁掉溢出攻击
set $block_common_exploits 0;
if ($query_string ~ “(<|%3C).*script.*(>|%3E)”) {
set $block_common_exploits 1;
}
if ($query_string ~ “GLOBALS(=|[|%[0-9A-Z]{0,2})”) {
set $block_common_exploits 1;
}
if ($query_string ~ “_REQUEST(=|[|%[0-9A-Z]{0,2})”) {
set $block_common_exploits 1;
}
if ($query_string ~ “proc/self/environ”) {
set $block_common_exploits 1;
}
if ($query_string ~ “mosConfig_[a-zA-Z_]{1,21}(=|%3D)”) {
set $block_common_exploits 1;
}
if ($query_string ~ “base64_(en|de)code(.*)”) {
set $block_common_exploits 1;
}
if ($block_common_exploits = 1) {
return 444;
}
## 禁spam字段
set $block_spam 0;
if ($query_string ~ “b(ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo)b”) {
set $block_spam 1;
}
if ($query_string ~ “b(erections|hoodia|huronriveracres|impotence|levitra|libido)b”) {
set $block_spam 1;
}
if ($query_string ~ “b(ambien|bluespill|cialis|cocaine|ejaculation|erectile)b”) {
set $block_spam 1;
}
if ($query_string ~ “b(lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby)b”) {
set $block_spam 1;
}
if ($block_spam = 1) {
return 444;
}
## 禁掉user-agents
set $block_user_agents 0;
# Don't disable wget if you need it to run cron jobs!
#if ($http_user_agent ~ “Wget”) {
# set $block_user_agents 1;
#}
# Disable Akeeba Remote Control 2.5 and earlier
if ($http_user_agent ~ “Indy Library”) {
set $block_user_agents 1;
}
# Common bandwidth hoggers and hacking tools.
if ($http_user_agent ~ “libwww-perl”) {
set $block_user_agents 1;
}
if ($http_user_agent ~ “GetRight”) {
set $block_user_agents 1;
}
if ($http_user_agent ~ “GetWeb!”) {
set $block_user_agents 1;
}
if ($http_user_agent ~ “Go!Zilla”) {
set $block_user_agents 1;
}
if ($http_user_agent ~ “Download Demon”) {
set $block_user_agents 1;
}
if ($http_user_agent ~ “Go-Ahead-Got-It”) {
set $block_user_agents 1;
}
if ($http_user_agent ~ “TurnitinBot”) {
set $block_user_agents 1;
}
if ($http_user_agent ~ “GrabNet”) {
set $block_user_agents 1;
}
  if ($http_user_agent ~ "WebBench") {
    set $block_user_agents 1;
  }
  if ($http_user_agent ~ "ApacheBench") {
    set $block_user_agents 1;
  }
  if ($http_user_agent ~ ^$) {
    set $block_user_agents 1;
  }
  if ($http_user_agent ~ "Python-urllib") {
    set $block_user_agents 1;
  }
if ($block_user_agents = 1) {
return 444;
}
}

您可能感兴趣的文章:

Nginx
配置

Linux中安装Nginx的正确步骤
这篇文章主要给大家介绍了关于在Linux中安装Nginx的正确步骤，文中通过示例代码介绍的非常详细，对大家学习或者使用Nginx具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧
2019-07-07
Nginx内容缓存以及常见参数配置详析
这篇文章主要给大家介绍了关于Nginx内容缓存以及常见参数配置的相关资料，文中通过示例代码介绍的非常详细，对大家学习或者使用Nginx具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧
2019-05-05
Nginx 禁止IP访问只允许域名访问
今天要在Nginx上设置禁止通过IP访问服务器，只能通过域名访问，这样做是为了避免别人把未备案的域名解析到自己的服务器IP而导致服务器被断网，从网络上搜到以下解决方案
2016-09-09
Nginx实现负载均衡和反向代理的方法
Nginx是由俄罗斯人研发的,应对Rambler的网站,并且2004年发布的第一个版本,Nginx功能丰富,可作为HTTP服务器,也可作为反向代理服务器,邮件服务器,本文给大家介绍了Nginx实现负载均衡和反向代理的方法,需要的朋友可以参考下
2024-02-02
Nginx通过header中的标识进行分发
本文主要介绍了Nginx通过header中的标识进行分发，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2023-03-03
详解Nginx 对访问量的控制
本文详解的介绍了 Nginx 的 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块，对请求访问量进行控制。非常具有实用价值，需要的朋友可以参考下
2018-12-12
服务器nginx配置ssl并http重定向到https方式
这篇文章主要介绍了服务器nginx配置ssl并http重定向到https方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2023-12-12
Nginx Gunicorn flask项目部署思路分析详解
这篇文章主要为大家介绍了Nginx Gunicorn flask项目部署思路分析详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-12-12
分享最新版 nginx内置变量大全
在配置基于nginx服务器的网站时，必然会用到 nginx内置变量，下面笔者将它整理成列表，把最新版本的变量列出来，以方便做配置时查询
2016-04-04
Nginx配置Https安全认证的实现
为了保障应用的安全性,我们在架构网络层的时候需要采用HTTPS协议。本文介绍了Nginx配置Https安全认证的实现，分享给大家，感兴趣的可以了解一下
2021-05-05