SAP云平台API管理提供了许多现成的API安全最佳实践，可以根据您的企业需求进行定制。这些API安全最佳实践包括身份验证和授权、流量管理等安全策略。

OWASP Top 10代表了对web应用程序最关键安全风险的广泛共识，将注入攻击列为10大web应用程序安全攻击之一。SQL注入攻击是一种注入攻击，爱回扣返现网，恶意用户使用注入攻击获取或更改只有REST API可用的数据库信息，例如：-

访问用户名和密码等敏感数据。损坏或删除数据库中的数据。

使用正则表达式保护策略可轻松检测到来自SAP云平台API管理SQL注入攻击。在本博客中，我们将扩展以前的日志所有API交互的博客，以检测SQL命令的使用情况，淘客群，如drop table、insert、shutdown或update、URL模式、查询参数等，请参阅OWASP SQL注入预防备忘表。

前提条件

SAP云平台API管理租户。

启动API门户

登录到您的SAP云平台API管理帐户（例如https://account.hanatrial.ondemand.com/cockpit).导航到"服务"选项卡，搜索API管理服务磁贴并单击以打开API管理服务。

单击"访问API门户"链接以打开API门户。

SQL注入威胁保护

在本节中，我们将介绍如何使用正则表达式保护策略来检测SQL命令的使用，如删除表、插入、关闭或更新OData查询参数，淘客大玩家，如$format、$skip、$filter、$top和$count。

从hamburger图标导航到Define，然后选择API选项卡。选择应用了API速率限制的API代理。

单击所选API代理的策略按钮。

单击策略设计器中的编辑按钮，从ProxyEndPoint部分选择预流，然后单击正则表达式保护旁边的+按钮在"安全策略"部分下可用的策略。

在"创建策略"屏幕中指定策略名称，说checkForCodeInjection，然后单击"添加"按钮。

选择新添加的checkForCodeInjection策略，大数据分析系统，然后添加以下策略段。

单击"更新"按钮保存策略更改

点击保存按钮，将更改保存到API代理中。

我们成功应用了正则表达式保护来检测查询参数、URL模式或请求体中传递的drop table、insert、update、shutdown等SQL命令。

最后测试流

从汉堡图标

从API列表中搜索要测试的API代理，云服务器租用，如GatewayServiceRestrictedAccess，然后单击要测试的API。

单击Authentication:None链接并选择Basic Authentication以设置连接到SAP Gateway ES4系统的用户凭据

进入将您的用户凭证发送到SAP Gateway ES4系统，然后单击"确定"按钮

单击"Url参数"按钮。输入$format作为URL参数名，drop table作为参数值，然后点击Send按钮

由于查询参数中传递了一个SQL命令drop table，正则表达式保护策略会检测到它，然后返回一个错误

将$format URL参数值改为json，然后单击"发送"按钮。

由于请求在正则表达式保护策略中定义的给定限制内，SAP API管理将成功地将调用传递到SAP网关系统，并返回响应。

进一步阅读

API安全最佳实践博客系列的下一部分-XML外部实体注入攻击API安全最佳实践博客系列的上一部分–记录所有API交互API安全最佳实践有关SAP云平台API管理的更多博客，请访问SAP社区