sql注入式攻擊是利用是指利用設計上的漏洞,在目標伺服器上執行sql命令以及進行其他方式的攻擊
動態生成sql命令時沒有對使用者輸入的資料進行驗證是sql注入攻擊得逞的主要原因。
比如:如果你的查詢語句是select * from admin where username='"&user&"' and password='"&pwd&"'"
那麼,如果我的使用者名稱是:1' or '1'='1
那麼,你的查詢語句將會變成:
select * from admin where username='1 or '1'='1' and password='"&pwd&"'"
這樣你的查詢語句就通過了,從而就可以進入你的管理介面。
所以防範的時候需要對使用者的輸入進行檢查。特別式一些特殊字元,比如單引號,雙引號,分號,逗號,冒號,連線號等進行轉換或者過濾。
需要過濾的特殊字元及字串有:
*** user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
*** localgroup administrators
select
count
ascchar
mid':"
insert
delete from
drop table
update
truncate
from
%[code start]
alert("位址中含有非法字元~");
location.href="error.asp";
}//-->
[code end]
asp版的防範sql注入式攻擊**~:
response.write "alert('非法位址!!');"
response.write "location.href='error.asp';"
response.write ""
end if
%>
[code end]
防範SQL注入式攻擊
拷貝別人的 sql注入式攻擊是利用是指利用上的漏洞,在目標伺服器上執行 sql命令以及進行其他方式的攻擊 動態生成 sql命令時沒有對使用者輸入的資料進行驗證是 sql注入攻擊得逞的主要原因。比如 如果你的查詢語句是select fromadminwhereusername user andpass...
防範Sql注入式攻擊
sql注入式攻擊是指利用設計上的漏洞,在目標伺服器上執行sql 命令以及進行其他方式的攻擊 string name getuserinput bookname string script select table book where book name like name runsql scrip...
防範Sql注入式攻擊
sql注入式攻擊是指利用設計上的漏洞,在目標伺服器上執行sql 命令以及進行其他方式的攻擊 string name getuserinput bookname string script select table book where book name?like?n name runsql scr...