什麼是sql注入
通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。通俗地講,它是利用現有應用程式,將(惡意)的sql命令注入到後台資料庫引擎執行的能力,它可以通過在web表單中輸入(惡意)sql語句得到乙個存在安全漏洞的**上的資料庫,而不是按照設計者意圖去執行sql語句。
網上常用的注入手法有兩種,一種是猜測,讓資料庫暴出使用者名稱、密碼等資訊;另一種直接繞過認證,取得許可權。相對應,要想修復此類漏洞,就必須禁止特殊資料的提交或將特殊提交的資料修改。
1:jsp防注入過濾**
<%
dim xf_post,xf_get,xf_in,xf_inf,xf_xh,xf_db,xf_dbstr
'自定義需要過濾的字串,用 "|" 分隔
xf_in = "'|;|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
xf_inf = split(xf_in,"|")
if request.form<>"" then
for each xf_post in request.form
for xf_xh=0 to ubound(xf_inf)
if instr(lcase(request.form(xf_post)),xf_inf(xf_xh))<>0 then
response.write ""
response.write "非法操作!系統做了如下記錄↓
"response.write "操作ip:"&request.servervariables("remote_addr")&"
"response.write "操作頁面:"&request.servervariables("url")&"
"response.write "提交方式:post
"response.write "提交引數:"&xf_post&"
"response.write "提交資料:"&request.form(xf_post)
response.end
end if
next
next
end if
if request.querystring<>"" then
for each xf_get in request.querystring
for xf_xh=0 to ubound(xf_inf)
if instr(lcase(request.querystring(xf_get)),xf_inf(xf_xh))<>0 then
response.write ""
response.write "非法操作!系統已經給你做了如下記錄↓
"response.write "操作ip:"&request.servervariables("remote_addr")&"
"response.write "操作頁面:"&request.servervariables("url")&"
"response.write "提交方式:get
"response.write "提交引數:"&xf_get&"
"response.write "提交資料:"&request.querystring(xf_get)
response.end
end if
next
next
end if
%>
在需要防注的頁面頭部用 包含就可以了
SQL注入漏洞
sql注入漏洞曾經是web應用程式的噩夢,cms bbs blog無一不曾受其害。sql注入的原理 以往在web應用程式訪問資料庫時一般是採取拼接字串的形式,比如登入的時候就是根據使用者名稱和密碼去查詢 string sql select top 1 from user where username...
SQL注入漏洞
sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令,比如先前的很多影視 洩露vip會員密碼大多就是通過web表單遞交查詢字元暴出的,這類表單特別容易受到sql注入式攻擊 sql注入的發生 當應用程式使用輸入內容來構造動態sq...
sql注入漏洞
sql注入漏洞 漏洞簡介 程式設計師在編寫 的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查詢 根據程式返回的結果,獲得某些他想得知的資料,這就是所謂的sql injection,即sql注入。一 聯合查詢注入 order by x 判斷列數 unio...