if (request.querystring != null) }
} if (request.form.count > 0)
else
if (s3 != s1) }
} }
b.對引數進行sql防止注入判斷
public static string safesqlliteral(string inputsql)
", " "); //two or more spaces
inputstring = regex.replace(inputstring, "(<[b|b][r|r]/*>)+|(<[p|p](.|//n)*?>)", "/n"); //
inputstring = regex.replace(inputstring, "(//s*&[n|n][b|b][s|s][p|p];//s*)+", " "); //
inputstring = regex.replace(inputstring, "<(.|//n)*?>", string.empty); //any other tags
inputstring = inputstring.replace("'", "''");
return inputstring;
}else
return inputstring;
}c.徹底杜絕sql注入
1.不要使用sa使用者連線資料庫
2、新建乙個public許可權資料庫使用者,並用這個使用者訪問資料庫
3、[角色]去掉角色public對sysobjects與syscolumns物件的select訪問許可權
4、[使用者]使用者名稱-> 右鍵-屬性-許可權-在sysobjects與syscolumns上面打「×」
5、通過以下**檢測(失敗表示許可權正確,如能顯示出來則表明許可權太高):
declare @t varchar(255),
@c varchar(255)
declare table_cursor cursor for
select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype= 'u ' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
open table_cursor
fetch next from table_cursor into @t,@c
while(@@fetch_status=0)
begin print @c
fetch next from table_cursor into @t,@c
end
close table_cursor
deallocate table_cursor
sql2005做法:
1、在系統檢視找到sysobjects a,syscolumns b ,屬性,進入許可權,找到select後面拒絕打勾即可。
防止js注入
當要將頁面的資訊寫入資料庫 並讀取出來的時候 要防止js注入 使用spring web裡面的這個類可以解決問題 htmlutils.htmlescape string 該類裡面的這個方法可以將一些可疑字元進行轉化後存入到資料庫中 public string converttoreference ch...
防止SQL注入
1.什麼是sql注入 所謂sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。通過遞交引數構造巧妙的sql語句,從而成功獲取想要的資料。2.sql注入的種類 從具體而言,sql注入可分為五大類,分別是 數字型注入 字元型注入...
防止SQL注入
最近看到很多人的 都被注入js,被iframe之類的。非常多。本人曾接手過乙個比較大的 被人家入侵了,要我收拾殘局。1.首先我會檢查一下伺服器配置,重新配置一次伺服器安全,可以參考 2.其次,用麥咖啡自定義策略,即使 程式有漏洞,別人也很難在檔案上寫入 了。參考自定義策略,有了這個策略,再爛的程式,...