OWASP Top 10是國際上排名前十的“十大安全漏洞列表”，這個列表總結了Web應用程序最可能、最常見、最危險的十大漏洞，其中SQL注入漏洞排名首位，其危害性巨大。然而，這次公司合作的，正是這種漏洞的修補。

8月12日，貴州水投集團網(wǎng)站發(fā)現(xiàn)SQL注入漏洞，存在網(wǎng)絡安全風險，對方委托我們，修補此漏洞，排除安全風險，并且從2017年8月12-2017年8月13日由我們給他們的PC網(wǎng)站+服務器安全維護。

因為SQL注入，被廣泛用于非法獲取網(wǎng)站控制權，是發(fā)生在應用程序的數(shù)據(jù)庫層上的安全漏洞。在設計不良的程序當中，忽略了對輸入字符串中夾帶的SQL指令的檢查，那么這些夾帶進去的指令就會被數(shù)據(jù)庫誤認為是正常的SQL指令而運行，從而使數(shù)據(jù)庫受到攻擊，可能導致數(shù)據(jù)被竊取、更改、刪除，以及進一步導致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。介于這樣的情況，我們必須盡快的排除改危險，所以，我們確保在一天之內(nèi)必須排除該安全風險！

我們對網(wǎng)站后臺軟件進行全面系統(tǒng)排查，找出SQL注入漏洞來源，并及時清除漏洞，。主要對提出的漏洞URL地址分析，服務器端文件中凡是通過GET提交的參數(shù)做類型驗證，對非法字符轉義，并利用MySQLI和PDO做參數(shù)化綁定，禁止執(zhí)行從URL提交一切惡意的sql語句命令注入，客戶端杜絕（腳本攻擊，跨網(wǎng)站腳本攻擊，HTTP請求欺騙攻擊）。成功的在一天之內(nèi)，排除了貴州省水利投資責任有限公司網(wǎng)站存在的風險。