日期:2011-05-02 15:22:00 来源:本站整理
防备SQL注入式攻击[MSSQL防范]
本文“防备SQL注入式攻击[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
SQL注入式攻击是操纵是指操纵计划上的漏洞,在目标服务器上运行Sql号令以及举行其他方法的攻击动态生成Sql号令时没有对用户输入的数据举行考证是Sql注入攻击得逞的主要缘由.
比方:
假如你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'"
那么,假如我的用户名是:1' or '1'='1
那么,你的查询语句将会变成:
select * from admin where username='1 or '1'='1' and password='"&pwd&"'"
这样你的查询语句就通过了,从而便可以进入你的管理界面.
所以防备的时刻需求对用户的输入举行查抄.分外式一些特别字符,比方单引号,双引号,分号,逗号,冒号,衔接号等举行转换大概过滤.
需求过滤的特别字符及字符串有:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
'
:
"
insert
delete from
drop table
update
truncate
from
%
下面是我写的两种关于办理注入式攻击的防备代码,供大家学习参考!
js版的防备SQL注入式攻击代码~:
<script language="javascript">
本文地址: | 与您的QQ/BBS好友分享! |
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论