SQL注进式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方法的攻击 。
动态天生Sql命令时没有对用户输进的数据进行验证是Sql注进攻击得逞的重要原因。
比如:
假如你的查询语句是select * from admin where username=''"&user&"'' and password=''"&pwd&"''" 那么,假如我的用户名是:1'' or ''1''=''1
那么,你的查询语句将会变成:
select * from admin where username=''1 or ''1''=''1'' and password=''"&pwd&"''"
这样你的查询语句就通过了,从而就可以进进你的治理界面。
所以防备的时候需要对用户的输进进行检查。特别式一些特别字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
需要过滤的特别字符及字符串有:
以下为引用的内容:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
''
:
"
insert
delete from
drop table
update
truncate
from
%
下面是我写的两种关于解决注进式攻击的防备代码,供大家学习参考!
js版的防备SQL注进式攻击代码:
以下为引用的内容:
asp版的防备SQL注进式攻击代码~:
以下为引用的内容:If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)
If Instr(strTemp,"select ") or Instr(strTemp,"insert ") or Instr(strTemp,"delete from") or Instr(strTemp,"count(") or Instr(strTemp,"drop table") or Instr(strTemp,"update ") or Instr(strTemp,"truncate ") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec master") or Instr(strTemp,"net localgroup administrators") or Instr(strTemp,":") or Instr(strTemp,"net user") or Instr(strTemp,"''") or Instr(strTemp," or ") then
Response.Write ""
Response.Write "alert(''非法地址!!'');"
Response.Write "location.href=''error.asp'';"
Response.Write ""
End If
%>
以下是较为简略的防备方法,这些都是大家比拟熟悉的方法,盼看能给你一点帮助~
重要是针对数字型的变量传递:
id = Request.QueryString("id")
If Not(isNumeric(id)) Then
Response.Write "非法地址~"
Response.End
End If
京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有 