网站注入与防范的方法

最近看到很多人的网站都被注入js,被iframe之类的。非常多。

本人曾接手过一个比较大的网站&＃xff0c;被人家入侵了&＃xff0c;要我收拾残局。。

1.首先我会检查一下服务器配置&＃xff0c;重新配置一次服务器安全&＃xff0c;可以参考
http://hi.baidu.com/zzxap/blog/item/18180000ff921516738b6564.html

2.其次&＃xff0c;用麦咖啡自定义策略&＃xff0c;即使网站程序有漏洞&＃xff0c;别人也很难在文件上写入代码了。
参考自定义策略&＃xff0c;有了这个策略&＃xff0c;再烂的程序&＃xff0c;你也无法写入我的文件
http://hi.baidu.com/zzxap/blog/item/efe093a7e0f2c190d04358ef.html

3.可以用网络超级巡警删除被注入的JS代码。
参考
http://hi.baidu.com/anlish/blog/item/ba45bb18eac77e0534fa4134.html

4.如何批量删除数据库中被注入的代码&＃xff1f;
在数据库查询分析器运行这段代码即可

SQL code

DECLARE

&＃64;fieldtype
sysname


SET

&＃64;fieldtype
&＃61;
&＃39;
varchar
&＃39;



--
删除处理



DECLARE
hCForEach
CURSOR
GLOBAL


FOR



SELECT
N
&＃39;
update
&＃39;
&＃43;
QUOTENAME
(o.name)


&＃43;
N
&＃39;
set
&＃39;
&＃43;

QUOTENAME
(c.name)
&＃43;
N
&＃39;
&＃61; replace(
&＃39;

&＃43;

QUOTENAME
(c.name)
&＃43;

&＃39;
,
&＃39;&＃39;

&＃39;&＃39;
,
&＃39;&＃39;&＃39;&＃39;
)
&＃39;



FROM
sysobjects o,syscolumns c,systypes t


WHERE
o.id
&＃61;
c.id


AND

OBJECTPROPERTY
(o.id,N
&＃39;
IsUserTable
&＃39;
)
&＃61;
1



AND
c.xusertype
&＃61;
t.xusertype


AND
t.name
&＃61;
&＃64;fieldtype



EXEC
sp_MSforeach_Worker
&＃64;command1
&＃61;
N
&＃39;
?
&＃39;

5.创建一个触发器&＃xff0c;只要有 就不给插入&＃xff0c;对性能会有点影响

SQL code

create

trigger
tr_table_insertupdate


on
tablename


for

insert
,
update



as



if

exists
(


select

1

from
inserted


where
data
like

&＃39;
%%
&＃39;


)


begin



RAISERROR
(
&＃39;
不能修改或者添加
&＃39;
,
16
,
1
);


ROLLBACK

TRANSACTION



end



go

6.最重要的还是程序的写法&＃xff0c;用参数化SQL或存储过程
例如

C# code

protected

void
cmdok_Click(
object
sender, EventArgs e)

{


//
添加信息



StringBuilder sql
&＃61;

new
StringBuilder(
"
insert into m_phone ( pid,PhoneName,num,price,phonetype,onSellTime,color,weight,Video,Camera,phoneSize,phoneSystem,Memorysize,PhoneDesc,Standbytime,ScreenSize,Frequency,InputMethod,Soundrecord,gps,fm,mp3,email,Infrared,game,clock,Calendar,Calculator,Bluetooth)
"
);



sql.Append(
"
values (&＃64;pid,&＃64;TextPhoneName,&＃64;Textnum,&＃64;Textprice,&＃64;Dropphonetype2,&＃64;TextonSellTime,&＃64;Textcolor,&＃64;Textweight
"
);



.................



SqlParameter[] paras
&＃61;
{
new
SqlParameter(
"
&＃64;pid
"
, SqlDbType.Int,
4
) ,


new
SqlParameter(
"
&＃64;TextPhoneName
"
, SqlDbType.NVarChar,
50
) ,


new
SqlParameter(
"
&＃64;Textnum
"
, SqlDbType.Int,
4
) ,


new
SqlParameter(
"
&＃64;Textprice
"
, SqlDbType.Int,
4
) ,


new
SqlParameter(
"
&＃64;Dropphonetype2
"
, SqlDbType.VarChar,
20
) ,


new
SqlParameter(
"
&＃64;TextonSellTime
"
, SqlDbType.DateTime,
8
) ,


new
SqlParameter(
"
&＃64;Textcolor
"
, SqlDbType.VarChar,
20
) ,


new
SqlParameter(
"
&＃64;Textweight
"
, SqlDbType.NVarChar,
50
) ,



...........

};


string
[] stra
&＃61;
{Dropphonetype.SelectedValue,TextPhoneName.Text , Textnum.Text, Textprice.Text, Dropphonetype2.SelectedValue, TextonSellTime.Text, Textcolor.Text, Textweight.Text,

.............};




int
a
&＃61;
stra.Length;


int
j;




for
( j
&＃61;

0
; j
<
a; j
&＃43;&＃43;
)

{

paras[j].Value
&＃61;
stra[j];



}


int
strpid
&＃61;

0
;


string
sqla
&＃61;
sql.ToString();


try


{

SqlHelper.ExcuteNonQurey(sqla, CommandType.Text, paras);
//
执行添加数据





strpid
&＃61;
Convert.ToInt32(SqlHelper.ExcuteSclare(sqla, CommandType.Text, paras));
//
获取刚才插入的id号







}


catch
(SqlException ex)

{

cmdreturn.Text
&＃61;
ex.Message.ToString();



}



cmdreturn.Text
&＃61;
strpid.ToString();



。。。。。。。。。

7.通过URL传递的参数要用加密解密

C# code

传输


string
szTmp
&＃61;

"
safdsfdsafdsfytrsd
"
;

szTmp
&＃61;
Server.UrlEncode(szTmp);

接收

STRING STRA
&＃61;
Server.UrlDecode(request.querystring(szTmp));

8.把要使用的参数处理一下单引号&＃xff0c;再放到SQL里面 
  例如 string stra&＃61;aa.replace("&＃39;","&＃39;&＃39;")

  用参数化SQL可以不用处理单引号
  指定参数类型和过滤掉单引号&＃xff0c;就可以杜绝99.9%入侵了


另外说一句&＃xff1a;网上那些被人奉如圣经的过滤 update insert  等关键字的程序是用处不大的  upupdatedate 过滤掉 update还是update
还会造成不必要的麻烦