有什么好的防止sql注入的应对策略呢？

企业网站运行过程中，网络攻击是网站的重要危害，其中SQL注入攻击令很多站长头疼，那么应对SQL注入攻击，有什么好的防止sql注入的策略呢？（你可能想知道：Web服务器应用如何防止SQL注入呢？）

SQL注入攻击——这个让许多站长汗颜的入侵方式，曾经毁灭了数以千计的网站。当国外的黑客们信手玩弄SQL攻击时，国内互联网还处于风平浪静的态势，但当中国黑客们真正开始注入之旅时，绝大多数网站的噩梦随之而至。你可能会怀疑国内站长们所作的安全工作，但事实上，做好SQL攻击防范是非常复杂的，因为它的变数太多，手法更加灵活。

既然SQL攻击方法灵活，那防范起来自然有难度。但还是有一些规律可循，以不变应万变。在设计或者维护 Web 网站时，程序员应该尽自己最大可能来过滤关键字符，这是SQL入侵的首要步骤，从这关把握住是相当必要的。

程序员可以设计两个页面：一个是HTML页面，另一个ASP动态页面。这也就是为什么在今天看到越来越多静态页面地址的网站，其实在背后，仍然是通过ASP或者其它动态方式进行数据库操作的。

为了减轻危害，还可以限制用程序所用的数据库访问帐号权限。一般来说，应用程序没有必要以sa的身份访问数据库。给它的权限越少，你的网站越安全！你还可以考虑分别给每个需要访问数据库的对象分配只拥有必需权限的帐号，以分散安全漏洞。当然，这对于绝大多数的“黑客”来说意义不大，因为整个注入过程全由软件代劳了。他们就等着上传木马了。

所以，控制文件上传是非常必要的。你应该想尽一切办法让用户少上传文件，严格控制文件类型，并且做到后台也如此。ASP木马并不仅仅是ASP后缀的文件，越来越高级的技术会慢慢让其更加难以防范，长期上讲，拒绝上传文件还是很有必要的。比如，有些程序员喜欢用排除法来防止木马，它让程序遇到ASP、EXE等程序是就隔离并阻止上传，与其这样，不如用反向过滤方法。如只允许JPG图像上传，这样不管有什么新格式的木马出现，只要不是JPG格式的，就都会被禁止上传。

还有就是需要提醒你的服务商，让他做好安全工作，至少虚拟目录间不要随意跨越，权限设置很关键。当然你也要经常查看FTP目录，看看是否有可疑的文件。网上有一种ASP文件，上传以后访问可以自动检测虚拟目录中是否包含ASP木马，感兴趣的朋友可以试试看，但这种方法并不是包治百病。