当前位置:七道奇文章资讯安全技术网络技术
日期:2010-09-21 00:03:00  来源:本站整理

SQL Server注入及漏洞防备妙法[网络技术]

赞助商链接



  本文“SQL Server注入及漏洞防备妙法[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

SQL注入

  SQL注入通过网页对网站数据库举行改正.它可以直接在数据库中增添具有管理员权限的用户,从而终究得到系统管理员权限.黑客可以操纵得到的管理员权限肆意得到网站上的文件大概在网页上加挂木马和各种恶意程序,对网站和拜候该网站的网友都带来宏大危害.

  防备SQL注入有妙法

  第一步:很多新手从网上下载SQL通用防注入系统的程序,在需求防备注入的页面头部用来避免别人举行手动注入测试.

  但是假如通过SQL注入解析器便可轻松跳过防注入系统并自动解析其注入点.然后只需求几分钟,你的管理员账号及密码就会被解析出来.

  第二步:关于注入解析器的防备,笔者通过实行,发现了一种简单有效的防备办法.首先我们要知道SQL注入解析器是若何工作的.在操作历程中,发现软件并非冲着"admin"管理员账号去的,而是冲着权限(如flag=1)去的.这样一来,无论你的管理员账号怎么变都无法逃过检测.

  第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是避免注入的账号,为什么这么说呢?笔者想,假如找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号举行解析的时刻进入全负荷状况乃至资源耗尽而死机.下面我们就来改正数据库吧.

  1.对表构造举行改正.将管理员的账号字段的数据范例举行改正,文本型改成最大字段255(其实也够了,假如还想做得再大点,可以挑选备注型),密码的字段也举行相同设置.

  2.对表举行改正.设置管理员权限的账号放在ID1,并输入大量中文字符(最好大于100个字).

  3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上).

  我们通过上面的三步完成了对数据库的改正.

  这时是不是改正完毕了呢?其实不然,要懂得你做的ID1账号其实也是真正有权限的账号,目前计算机处理速度那么快,如果赶上个一定要将它算出来的软件,这也是不安全的.我想这时大大都人已经想到了办法,对,只要在管理员登录的页面文件中写入字符限制就行了!就算对方利用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制.

本文引用地址: 与您的QQ/MSN好友分享!
您对本文章有什么看法或着疑问吗?请到论坛谈论您的关注和倡议是我们前行的参考和动力    相关文章 没有相关文章
  以上是“SQL Server注入及漏洞防备妙法[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • Windows 搭配 IIS7 PHP MySQL 环境
  • sqlserver索引的原理及索引成立的注意事项小结
  • SQL Join的一些总结(实例)
  • SQL的Join利用图解教程
  • SQL中JOIN和UNION辨别、用法及示例介绍
  • 关于SQL中CTE(公用表表达式)(Common Table Expression)的总结
  • mysql Out of memory (Needed 16777224 bytes)的错误办理
  • mysql提醒[Warning] Invalid (old?) table or database name问题的办理办法
  • mysql启用skip-name-resolve情势时呈现Warning的处理办法
  • mysql启用skip-name-resolve情势时呈现Warning的处理办法
  • MySQL Order By语法介绍
  • <b>MySQL ORDER BY 的实现解析</b>
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .