攻击者如此青睐web攻击的一个重要原因是它可以损害一些无辜的站点，并用于感染大量的受害者。事实证明，web服务器已经被证明是互联网络中的软柿子，攻击者们可以充分利用之。这种攻击的唯一受害者就是用户，因为正是用户在浏览受到危害的时会将自己暴露给恶意代码。然而，除了用户之外，还有两个受害人，即的所有者和管理员。 在近半年来的sql注入攻击中，这一点尤其明显，在其中，后端数据库可能被恶意代码感染。清理这种攻击的后遗症是很痛苦的，有许多案例证明，清理数据库之后，几小时后会再次遭受攻击。最佳的方法是预防，从一开始就想方设法避免遭受攻击。 在此，笔者只是总结几条技巧，站点所有者和管理员可以遵循之，便可以将遭受攻击的机会最小化。 制定最佳方法 sql注入攻击并不是新东西，攻击者们掌握这项技巧已经有许多年了。近些日子，许多发表了一些文章提供了一些资源，帮助开发人员编写安全代码。安全管理人员应当制定一些通用的安全方法，下面给出三点建议。一、建立参数化的存储进程，二、最少特权连接，三、仅对所有的存储进程授权运行许可，四、仅对应用程序域组授予许可。 除了一开始就注意安全地开发应用程序，对现有的应用程序实施评估是很重要的，这包括对第三方的应用程序。可以利用惠普发布的scrawlr来帮助开发人员查找包含漏洞的页面。此外，谷歌提供的ratproxy也是不错的选择。 尽可能少的特权 开发人员应当确保web应用程序以最少的特权运行，千万不要使用管理员账户运行，如避免使用db_owner 或 sysadmin等账号运行。 服务器日志 跟踪日志对于诊断攻击是很有用的。近半年以来的sql注入攻击都是通过恶意的http请求发生的。对服务器中的uri查询串进行检查可有助于确认攻击，并可成为日后调查的起始点。 第三方厂商 如果单位使用第三方开发的软件，要确保其遵循最佳的方法。要特别关注其程序的测试，要关注其开发力量和软件升级能力。 保护web应用程序 现在的市场上，有各种各样的产品可以强化web应用程序的安全，防御一些攻击。但这些不能成为代替开发安全程序的最佳方法和技巧。例如，web应用程序防火墙中，现在有大量的商业产品可以选择。有的防火墙，如ips方案可有助于保护web服务器免受攻击，并可阻止恶意的请求，防止其访问服务器。 对付web威胁和sql注入攻击并没有什么一招制敌的妙方。但是加强对用户的教育，并实施一些行业的最佳方法，这确实可防止通过注入攻击实施的web损害。 据专业人士报道，网上报警平台还会有很大的上升期，市场业务也在不断的扩大，未来一定会越做越大的。