sql注入nginx
① 502 Bad Gateway
可以嘗試清除瀏覽器緩存 訪問一下你的FTP看是否可以登陸 產生原因 伺服器(不一定是Web伺服器)是作為網關或代理,以滿足客戶的要求(如Web瀏覽器或我們的CheckUpDown機器人)來訪問所請求的URL 。此伺服器收到無效響應從上游伺服器訪問履行它的要求。 固定502錯誤 一般這個問題是由於不良的IP之間的溝通後端計算機,包括您可能嘗試訪問的在Web伺服器上的網站。在分析這個問題,您應該清除瀏覽器緩存完全。 如果您上網時在您嘗試訪問的所有網站上都看這個問題,有兩種可能 1 )你的ISP了重大設備故障/過載或 2 )有問題的內部互聯網連接如您的防火牆無法正常運作。 在第一種情況下,只有您的ISP可以幫助您。在第二種情況下,你需要解決什麼,那就是阻止你進入互聯網。 如果您只有在部分嘗試訪問的網站中出現此問題,那就很可能是一個問題,即這些網站之一,其設備故障或超載。聯系網站的管理員。
==========
一些運行在Nginx上的網站有時候會出現「502 Bad Gateway」錯誤,有些時候甚至頻繁的出現。以下是從Google搜集整理的一些Nginx 502錯誤的排查方法,供參考:
Nginx 502錯誤的原因比較多,是因為在代理模式下後端伺服器出現問題引起的。這些錯誤一般都不是nginx本身的問題,一定要從後端找原因!但nginx把這些出錯都攬在自己身上了,著實讓nginx的推廣者備受置疑,畢竟從字眼上理解,bad gateway?不就是bad nginx嗎?讓不了解的人看到,會直接把責任推在nginx身上,希望nginx下一個版本會把出錯提示寫稍微友好一些,至少不會是現在簡單的一句 502 Bad Gateway,另外還不忘附上自己的大名。
Nginx 502的觸發條件
502錯誤最通常的出現情況就是後端主機當機。在upstream配置里有這么一項配置:proxy_next_upstream,這個配置指定了 nginx在從一個後端主機取數據遇到何種錯誤時會轉到下一個後端主機,里頭寫上的就是會出現502的所有情況拉,默認是error timeout。error就是當機、斷線之類的,timeout就是讀取堵塞超時,比較容易理解。我一般是全寫上的:
proxy_next_upstream error timeout invalid_header http_500 http_503;不過現在可能我要去掉http_500這一項了,http_500指定後端返回500錯誤時會轉一個主機,後端的jsp出錯的話,本來會列印一堆 stacktrace的錯誤信息,現在被502取代了。但公司的程序員可不這么認為,他們認定是nginx出現了錯誤,我實在沒空跟他們解釋502的原理 了……
503錯誤就可以保留,因為後端通常是apache resin,如果apache死機就是error,但resin死機,僅僅是503,所以還是有必要保留的。
解決辦法
遇到502問題,可以優先考慮按照以下兩個步驟去解決。
1、查看當前的php FastCGI進程數是否夠用:
netstat -anpo | grep "php-cgi" | wc -l如果實際使用的「FastCGI進程數」接近預設的「FastCGI進程數」,那麼,說明「FastCGI進程數」不夠用,需要增大。
2、部分PHP程序的執行時間超過了Nginx的等待時間,可以適當增加nginx.conf配置文件中FastCGI的timeout時間,例如:
......
http
{
......
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
......
}
......php.ini中memory_limit設低了會出錯,修改了php.ini的memory_limit為64M,重啟nginx,發現好了,原來是PHP的內存不足了。
如果這樣修改了還解決不了問題,可以參考下面這些方案:
一、max-children和max-requests
一台伺服器上運行著nginx php(fpm) xcache,訪問量日均 300W pv左右
最近經常會出現這樣的情況: php頁面打開很慢,cpu使用率突然降至很低,系統負載突然升至很高,查看網卡的流量,也會發現突然降到了很低。這種情況只持續數秒鍾就恢復了
檢查php-fpm的日誌文件發現了一些線索
Sep 30 08:32:23.289973 [NOTICE] fpm_unix_init_main(), line 271: getrlimit(nofile): max:51200, cur:51200
Sep 30 08:32:23.290212 [NOTICE] fpm_sockets_init_main(), line 371: using inherited socket fd=10, 「127.0.0.1:9000″
Sep 30 08:32:23.290342 [NOTICE] fpm_event_init_main(), line 109: libevent: using epoll
Sep 30 08:32:23.296426 [NOTICE] fpm_init(), line 47: fpm is running, pid 30587在這幾句的前面,是1000多行的關閉children和開啟children的日誌
原來,php-fpm有一個參數 max_requests,該參數指明了,每個children最多處理多少個請求後便會被關閉,默認的設置是500。因為php是把請求輪詢給每個 children,在大流量下,每個childre到達max_requests所用的時間都差不多,這樣就造成所有的children基本上在同一時間 被關閉。
在這期間,nginx無法將php文件轉交給php-fpm處理,所以cpu會降至很低(不用處理php,更不用執行sql),而負載會升至很高(關閉和開啟children、nginx等待php-fpm),網卡流量也降至很低(nginx無法生成數據傳輸給客戶端)
解決問題很簡單,增加children的數量,並且將 max_requests 設置未 0 或者一個比較大的值:
打開 /usr/local/php/etc/php-fpm.conf
調大以下兩個參數(根據伺服器實際情況,過大也不行)
<value name=」max_children」>5120</value>
<value name=」max_requests」>600</value>然後重啟php-fpm。
二、增加緩沖區容量大小
將nginx的error log打開,發現「pstream sent too big header while reading response header from upstream」這樣的錯誤提示。查閱了一下資料,大意是nginx緩沖區有一個bug造成的,我們網站的頁面消耗佔用緩沖區可能過大。參考老外寫的修 改辦法增加了緩沖區容量大小設置,502問題徹底解決。後來系統管理員又對參數做了調整隻保留了2個設置參數:client head buffer,fastcgi buffer size。
三、request_terminate_timeout
如果主要是在一些post或者資料庫操作的時候出現502這種情況,而不是在靜態頁面操作中常見,那麼可以查看一下php-fpm.conf設置中的一項:
request_terminate_timeout
這個值是max_execution_time,就是fast-cgi的執行腳本時間。
0s
0s為關閉,就是無限執行下去。(當時裝的時候沒仔細看就改了一個數字)
發現,問題解決了,執行很長時間也不會出錯了。
優化fastcgi中,還可以改改這個值5s 看看效果。
php-cgi進程數不夠用、php執行時間長、或者是php-cgi進程死掉,都會出現502錯誤。
原文:http://www.ha97.com/4004.html
---★ 本文轉摘自『IT學習者』→ http://www.itlearner.com/article/4814
② 伺服器和網站老是容易被黑被入侵是哪些原因
作為伺服器和網站管理員,遭遇黑客入侵是不可避免的事情。很多管理員處理黑客入侵問題時,僅是安裝一套防護軟體,殺掉幾個網頁木馬。這是治標不治本的辦法,無法徹底解決安全問題,後期還會被黑客反復入侵。
一、與個人電腦的安全區別
對於個人電腦,安裝一套殺毒軟體就能解決99%的安全問題。然而伺服器和個人電腦在安全方面有著天壤之別。
個人電腦因為在內網,黑客無法主動發現。一般只會在瀏覽網站或安裝軟體時被植入了木馬程序,只要成功殺掉這個木馬程序,電腦就安全了。
而針對伺服器和網站的攻擊,屬於主動式攻擊,敵人在暗處,我在明處。黑客找准目標後,為了突破防線,會嘗試各種攻擊手段。此時僅靠一套防護軟體,無法應對多樣化、復雜化的網路攻擊,唯有做針對性的安全防護才能徹底解決安全問題。
二、為什麼會被反復入侵
很多管理員把伺服器和網站安全想得太過於簡單,以為安裝一套殺毒軟體,再殺掉幾個網頁木馬,伺服器就安全了。這只能治標,不能治本。之所以會被入侵,是因為系統有漏洞;不解決漏洞永遠無法根除安全威脅,黑客還會繼續利用這個漏洞反復實施入侵。唯有從根本上解決漏洞問題,才能有效解決入侵問題。
三、如何徹底解決安全威脅
伺服器一般有三大漏洞體系:系統漏洞、軟體漏洞和網站漏洞。
要打造安全的伺服器,就必須解決這三方面的安全威脅。
1、系統漏洞加固
操作系統出廠時,廠商為了兼容性,不會對系統做嚴格的安全限制,因此需要做一些安全加固,方可防止黑客入侵。
系統加固主要有以下流程:更新系統補丁、禁用危險服務、卸載危險組件、刪除危險許可權、開啟防火牆、設置復雜密碼。
具體操作方法請點這里:https://www.hws.com/solution/xitong.html
2、軟體漏洞加固
常用的Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分伺服器軟體,都存在安全隱患,需要進行安全加固。
可通過「降權」或「訪問行為限制」兩種辦法解決,具體操作方法請點這里:https://www.hws.com/solution/ruanjian.html
3、網站安全加固
幾乎所有網站都存在漏洞,網站漏洞也是黑客最常用的入侵途徑,因此做好網站安全加固刻不容緩。之所以網站普遍存在漏洞,一是大部分開發人員只注重功能和時間,不會在安全方面多加考慮;二是他們也沒有安全防護技術和經驗。
1)、網站漏洞類型
網站漏洞主要有下幾種:SQL注入、在線上傳、跨站入侵、Cookies欺騙、暴力破解,詳細了解請點這里:https://www.hws.com/solution/wangzhan.html
2)、網站漏洞處理
修復漏洞無疑是最好的辦法,但這只能是奢想,有程序的地方就有漏洞,修復了一個漏洞,往往引出幾個新的漏洞。因此部署安全防護系統成為必然之選。
4、部署安全產品
每台伺服器放置的內容都不一樣,存在的安全威脅也不一樣,只有通過「軟體+服務」組合的方式,才能最大限度提升伺服器安全。
推薦部署「護衛神·高級安全防護」,工程師為您定製安全防護策略,杜絕所有網站漏洞,免疫所有網頁木馬。系統還會在黑客入侵的每一個環節進行攔截,通過遠程監控、用戶監控、進程監控、篡改保護、網站加固、木馬查殺、SQL注入防護等模塊,將一切不速之客拒之門外。
總而言之,安全無小事,提前做好防護很重要,不要等到被入侵了才後悔莫及。
③ nginx可以防止sql注入嗎
防禦原理:
1. 通過以上配置過濾基本的url中的注入關鍵字;
2. 當然,資料庫中的用戶密碼得加密存放 ;
3. php程序進行二次過濾,過濾GET和POST變數中的關鍵字;
4. 生產環境關閉PHP和MySQL的錯誤信息。
SQL注入攻擊一般問號後面的請求參數,在nginx用$query_string表示
④ SpringBoot 防止SQL注入、XSS攻擊、CSRF/CROS惡意訪問
一、SQL 注入問題
SQL 注入即是指 web 應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴,攻擊者可以在 web 應用程序中事先定義好的查詢語句的結尾上添加額外的 SQL 語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫伺服器執行非授權的任意查詢,從而進一步得到相應的數據信息。
簡單來說,就是將大部分 SQL 語句當參數傳入系統中,從而獲取系統中的數據。下面簡單舉例說明
系統中有這樣一條信息 SQL 語句執行,分頁查詢所有用戶,每頁查詢 20 條,並且根據指定欄位進行排序,也就是說排序欄位也是參數傳遞過來的
SQL 注入問題分析:
這樣很簡單的一句話 SQL,就可以把系統搞炸掉,這種方式可以實現刪庫跑路
以上語句會把整個 test 資料庫所有內容都刪掉
盡量用預編譯機制,少用字元串拼接的方式傳參,它是 sql 注入問題的根源。
有些特殊字元,比如:%作為 like 語句中的參數時,要對其進行轉義處理。
需要對所有的異常情況進行捕獲,切記介面直接返回異常信息,因為有些異常信息中包含了 sql 信息,包括:庫名,表名,欄位名等。攻擊者拿著這些信息,就能通過 sql 注入隨心所欲地攻擊你的資料庫了。目前比較主流的做法是,有個專門的網關服務,它統一暴露對外介面。用戶請求介面時先經過它,再由它將請求轉發給業務服務。這樣做的好處是:能統一封裝返回數據的返回體,並且如果出現異常,能返回統一的異常信息,隱藏敏感信息。此外還能做限流和許可權控制。
使用 sqlMap 等待代碼檢測工具,它能檢測 sql 注入漏洞。
需要對資料庫 sql 的執行情況進行監控,有異常情況,及時郵件或簡訊提醒。
對生產環境的資料庫建立單獨的賬號,只分配 DML 相關許可權,且不能訪問系統表。切勿在程序中直接使用管理員賬號。
建立代碼 review 機制,能找出部分隱藏的問題,提升代碼質量。
對於不能使用預編譯傳參時,要麼開啟 druid 的 filter 防火牆,要麼自己寫代碼邏輯過濾掉所有可能的注入關鍵字。
XSS 攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶載入並執行攻擊者惡意製造的網頁程序。這些惡意網頁程序通常是 javaScript,但實際上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻擊成功後,攻擊者可能得到包括但不限於更高的許可權(如執行一些操作)、私密網頁內容、會話和 cookie 等各種內容。
通常情況下,被用來盜用 Cookie、破壞頁面結構、重定向到其他網站等
對用戶輸入的表單信息進行檢測過濾
CSRF - Cross-Site Request Forgery - 跨站請求偽造:
攻擊可以在受害者毫不知情的情況下以受害者名義偽造請求發送給受攻擊站點,從而在未授權的情況下執行在許可權保護之下的操作,CORS - Cross Origin Resourse-Sharing - 跨站資源共享,惡意訪問內網敏感資源。
有效的解決辦法是通過多種條件屏蔽掉非法的請求,例如 HTTP 頭、參數等:
防止大規模的惡意請求,niginx 反向代理可以配置請求頻率,對 ip 做限制。nginx 可以很方便地做訪問控制,特別是一些偶發性的大量惡意請求,需要屏蔽處理。
屏蔽 ip 地址
屏蔽 user-agent
屏蔽代理 ip
有兩種情形會需要屏蔽代理 ip:一是代理 ip 訪問,二是負載均衡(real-ip 請求負載均衡伺服器,再代理給後端 server)
創建 包裝器,這是實現 XSS 過濾的關鍵,在其內重寫了 getParameter,getParameterValues,getHeader 等方法,對 http 請求內的參數進行了過濾
⑤ sql 注入是什麼
SQL注入是一種注入攻擊,可以執行惡意SQL語句。它通過將任意SQL代碼插入資料庫查詢,使攻擊者能夠完全控制Web應用程序後面的資料庫伺服器。攻擊者可以使用SQL注入漏洞繞過應用程序安全措施;可以繞過網頁或者Web應用程序的身份驗證和授權,並檢索整個SQL資料庫的內容;還可以使用SQL注入來添加,修改和刪除資料庫中的記錄。
SQL注入漏洞可能會影響使用SQL資料庫的任何網站或Web應用程序。犯罪分子可能會利用它來未經授權訪問用戶的敏感數據:客戶信息,個人數據,商業機密,知識產權等。雖然最古老,但非常流行,也是最危險的Web應用程序漏洞之一。
⑥ nginx與奇安信SWG的區別
nginx是用C語言寫的,自定義擴展的話,要麼寫C要麼寫luaSWG是java語言的一個框架,
可以在框架上進行代碼的擴展與控制,例如:安全控制,統一異常處理,XXS,SQL注入等;許可權控制,黑白名單,性能監控,日誌列印等;SWG的主要功能有,路由,斷言,過濾器,利用它的這些特性,可以做流控。nginx做網關,更多的是做總流量入口,反向代理,負載均衡等,還可以用來做web伺服器。
⑦ nginx防止sql注入
防止sql注入最好的辦法是對於提交後台的所有數據都進行過濾轉義。
對於簡單的情況,比如包含單引號'
,
分號;,
<,
>,
等字元可通過rewrite直接重訂向到404頁面來避免。
用rewrite有個前提需要知道,一般用rewrite進行正則匹配只能匹配到網頁的URI,也就是url中?前部分,?以後部分是請求參數。
問號後面的請求參數,在nginx用$query_string表
示,不能在rewrite中匹配到,需要用if判斷
例如,對於參數中帶有單引號的'進行匹配然後定向到錯誤頁面,
/plus/list.php?tid=19&mid=1124'
rewrite
^.*([;'<>]).*
/error.html
break;
直接寫這樣的一條重寫肯定不會正確匹配,因為rewrite參數只會匹配請求的uri,也就是/plus/list.php部分。
需要使用$query_string
藉助if進行判斷,如果查詢串種包含特殊字元,返回404。
if
(
$query_string
~*
".*[;'<>].*"
){
return
404;
}