当前位置:七道奇文章资讯数据防范MSSQL防范
日期:2011-05-02 15:22:00  来源:本站整理

防备SQL注入式攻击[MSSQL防范]

赞助商链接



  本文“防备SQL注入式攻击[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
  SQL注入式攻击是操纵是指操纵计划上的漏洞,在目标服务器上运行Sql号令以及举行其他方法的攻击动态生成Sql号令时没有对用户输入的数据举行考证是Sql注入攻击得逞的主要缘由.
  比方:
  假如你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'"
  那么,假如我的用户名是:1' or '1'='1
  那么,你的查询语句将会变成:
select * from admin where username='1 or '1'='1' and password='"&pwd&"'"
  这样你的查询语句就通过了,从而便可以进入你的管理界面.
  所以防备的时刻需求对用户的输入举行查抄.分外式一些特别字符,比方单引号,双引号,分号,逗号,冒号,衔接号等举行转换大概过滤.
  需求过滤的特别字符及字符串有:
   net user
   xp_cmdshell
   /add
   exec master.dbo.xp_cmdshell
   net localgroup administrators
   select
   count
   Asc
   char
   mid
   '
   :
   "
   insert
   delete from
   drop table
   update
   truncate
   from
   %

  下面是我写的两种关于办理注入式攻击的防备代码,供大家学习参考!
  js版的防备SQL注入式攻击代码~:
<script language="javascript">

本文地址: 与您的QQ/BBS好友分享!
  • 好的评价 如果您觉得此文章好,就请您
      0%(0)
  • 差的评价 如果您觉得此文章差,就请您
      0%(0)

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .