日韩天天综合网_野战两个奶头被亲到高潮_亚洲日韩欧美精品综合_av女人天堂污污污_视频一区**字幕无弹窗_国产亚洲欧美小视频_国内性爱精品在线免费视频_国产一级电影在线播放_日韩欧美内地福利_亚洲一二三不卡片区

防范sql注入式攻擊js版本_Mssql數(shù)據(jù)庫教程

編輯Tag賺U幣
教程Tag:暫無Tag,歡迎添加,賺取U幣!

推薦:怎樣做sql server數(shù)據(jù)庫的還原
以下為引用的內(nèi)容: void restoreButton_Click(object sender, System.EventArgs e) { string path = pathTextBox.Text; string dbname

SQL注入式攻擊是利用是指利用設(shè)計上的漏洞,在目標(biāo)服務(wù)器上運(yùn)行Sql命令以及進(jìn)行其他方式的攻擊 。

動態(tài)生成Sql命令時沒有對用戶輸入的數(shù)據(jù)進(jìn)行驗證是Sql注入攻擊得逞的主要原因。

比如:
如果你的查詢語句是select * from admin where username=''"&user&"'' and password=''"&pwd&"''" 那么,如果我的用戶名是:1'' or ''1''=''1

那么,你的查詢語句將會變成:

select * from admin where username=''1 or ''1''=''1'' and password=''"&pwd&"''"

這樣你的查詢語句就通過了,從而就可以進(jìn)入你的管理界面。

所以防范的時候需要對用戶的輸入進(jìn)行檢查。特別式一些特殊字符,比如單引號,雙引號,分號,逗號,冒號連接號等進(jìn)行轉(zhuǎn)換或者過濾。

需要過濾的特殊字符及字符串有:

以下為引用的內(nèi)容:

net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
''
:
"
insert
delete from
drop table
update
truncate
from
%

下面是我寫的兩種關(guān)于解決注入式攻擊的防范代碼,供大家學(xué)習(xí)參考!
js版的防范SQL注入式攻擊代碼:

以下為引用的內(nèi)容:

<script language="****">
<!--
var url = location.search;
var re=/^\?(.*)(select |insert |delete from |count\(|drop table|update truncate |asc\(|mid\(|char\(|xp_cmdshell|exec master|net localgroup administrators|\"|../../image/bbs3000/whatchutalkingabout_smile.gifnet user|\''| or )(.*)$/gi;
var e = re.test(url);
if(e) {
alert("地址中含有非法字符~");
location.href="error.asp";
}
//-->
<script>

asp版的防范SQL注入式攻擊代碼~:

以下為引用的內(nèi)容:

<%
On Error Resume Next
Dim strTemp

If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")

strTemp = strTemp & Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)

strTemp = LCase(strTemp)

If Instr(strTemp,"select ") or Instr(strTemp,"insert ") or Instr(strTemp,"delete from") or Instr(strTemp,"count(") or Instr(strTemp,"drop table") or Instr(strTemp,"update ") or Instr(strTemp,"truncate ") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec master") or Instr(strTemp,"net localgroup administrators") or Instr(strTemp,":") or Instr(strTemp,"net user") or Instr(strTemp,"''") or Instr(strTemp," or ") then
Response.Write "<script language=''****''>"
Response.Write "alert(''非法地址�。�'');"
Response.Write "location.href=''error.asp'';"
Response.Write "<script>"
End If
%>

以下是較為簡單的防范方法,這些都是大家比較熟悉的方法,希望能給你一點(diǎn)幫助~
主要是針對數(shù)字型的變量傳遞:
id = Request.QueryString("id")
If Not(isNumeric(id)) Then
Response.Write "非法地址~"
Response.End
End If