原理很簡單,資料庫字元型別就只有幾種。我們常用的就是數值,和字串,還有時間。
我們一般用到查詢的為數值,和字串。
字串查詢格式為 where 字段='查詢條件' 這裡無法注入,因為這裡加了單引號,查詢條件轉化為字串型別,而不是有效的sql語句。
而注入漏洞就存在於不加單引號的查詢條件中,就是數值查詢條件。這裡查詢格式為 where 字段=查詢條件 沒了單引號,就出現了注入漏洞。接下來我們就要解決這個漏洞了。
傳統的方法是遮蔽注入字元,但是帶來了很多不便。
現在我教大家兩個新方法。
1,加單引號:查詢格式變為 where cstr(字段)='查詢條件' 這裡將資料庫裡要查詢的內容轉換為字串,所以後面要加上單引號,這裡防止了注入。
2,先檢測查詢條件的型別:用isnumeric()函式,檢測是否為數值,如果是再執行,資料庫操作。這裡就杜絕了所有字串,更別說注入字元了。
講完了,希望對大家有所幫助。
續:資料庫查詢中數值查詢中 where 字段=查詢條件,這裡不能加單引號,除非這樣 where cstr(字段)='查詢條件'
法1大家談論下吧,我覺得好象有點問題。發2我認為可行。
法1我臨時想到的。發2我摸索了一段時間突然發現的,而且我正在用,非常好。
ASP生成html的新方法
已經有很多生成html的新聞系統,但是都是用的模板,本函式實現把asp頁面產生的html 儲存成為乙個html檔案,這樣就沒有必要改動原來的頁面就可以輕鬆完成乙個生成html的新聞系統了。由於 比較短,這裡就不進行注釋了。以下為引用的內容 當目標頁面的包含檔案即 include的頁面裡邊存在resp...
asp防注入的方法
為了系統的安全,直接在有資料庫連線的地方都加上sql注入的免疫 自定義需要過濾的字串,用 分隔 fy in exec insert select delete update count chr char master truncate declare fy inf split fy in,if re...
ASP防SQL注入程式
sql注入被那些菜鳥級別的所謂黑客高手玩出了滋味,發現現在大部分黑客入侵都是基於sql注入實現的,哎,誰讓這個入門容易呢,好了,不說廢話了,現在我開始說如果編寫通用的sql防注入程式一般的http請求不外乎get 和 post,所以只要我們在檔案中過濾所有post或者get請求中的引數資訊中非法字元...