av&

SQL注入＂></title><script src 解決辦法

當前位置：點晴教程→知識管理交流 →『技術(shù)文檔交流』

admin

2011年1月30日 21:58 本文熱度 3981

最近接收一個爛攤子，數(shù)據(jù)庫都被sql注入過一兩次了，到處都可以看到標題上那種東西，

看得小妹我想死，我是燥性子看著有火，在網(wǎng)站上看了n多防注入的方法，記錄一下

一種是從數(shù)據(jù)庫入手的，我這個爛攤子是用的sql server2000的，

---------------------------------------------------------------------------------------------------------

推薦用SQL SERVER 2005 ,其安全性及功能都更為強大

一是不要用SA權(quán)限

二是刪除表的sys.all_colums和sys.all_objects的select權(quán)限

注意：這里SQL SERVER 2005 及 2000不一樣，
 SQL SERVER 2005
這兩個權(quán)限在相應(yīng)數(shù)據(jù)庫展開下視圖=》視圖表中

把pubilc的select權(quán)限去掉，在屬性里取消掉SELECT權(quán)限
 SQL SERVER 2000
在2000里，名字不一樣，位置也不是在視圖里，而是直接在表中，如下

然后把pubilc的select權(quán)限去掉

三、凡是訪問數(shù)據(jù)庫的用戶,不要用SA，新建一個即可，其服務(wù)器角色不用設(shè)置，

全為空，只需要設(shè)數(shù)據(jù)庫映射即可，然后數(shù)據(jù)庫映射只給db_ower、pubilc權(quán)限

-------------------------------------------------------------------------------------------------------------

二個是從代碼上入手

盡可能全的過濾SQL敏感的語句，
先把數(shù)據(jù)庫里面注入的代碼用Replace()替換掉，
再在Global文件里里加入
protected void Application_BeginRequest(Object sender, EventArgs e)
{
//SQL防注入
string Sql_1 = "exec|insert+|select+|delete+|update+|count|chr|mid|master+|truncate|char|declare|drop+|drop+table|creat+|creat+table";
string Sql_2 = "exec+|insert|insert+|delete+|update+|count(|count+|chr+|+mid(|+mid+|+master+|truncate+|char+|+char(|declare+|drop+|creat+|drop+table|creat+table";
string[] sql_c = Sql_1.Split('|');
string[] sql_c1 = Sql_2.Split('|');

if (Request.QueryString != null)
{
foreach (string sl in sql_c)
{
if (Request.QueryString.ToString().ToLower().IndexOf(sl.Trim()) >= 0)
{
Response.Write("警告！你的IP已經(jīng)被記錄!不要使用敏感字符！");//
Response.Write(sl);
Response.Write(Request.QueryString.ToString());
Response.End();
break;
}
}
}

if (Request.Form.Count > 0)
{
string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服務(wù)器名稱
if (Request.ServerVariables["HTTP_REFERER"] != null)
{
string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名稱
string s3 = "";
if (s1.Length > (s2.Length - 7))
{
s3 = s2.Substring(7);
}
else
{
s3 = s2.Substring(7, s1.Length);
}
if (s3 != s1)
{
Response.Write("警告！你的IP已經(jīng)被記錄!不要使用敏感字符！");//
Response.End();
}
}
}
}

------------------------------------------------------------------------------------------------------------------

三個是使用防注入的軟件防火墻Safe3 IIS Firewall

http://hi.baidu.com/soueou/blog/item/796bb9068127887e03088178.html

該文章在 2011/1/30 21:58:58 編輯過

關(guān)鍵字查詢

sql

辦法

注入

相關(guān)文章

正在查詢...

點晴ERP是一款針對中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國內(nèi)大量中小企業(yè)的青睞。

點晴PMS碼頭管理系統(tǒng)主要針對港口碼頭集裝箱與散貨日常運作、調(diào)度、堆場、車隊、財務(wù)費用、相關(guān)報表等業(yè)務(wù)管理，結(jié)合碼頭的業(yè)務(wù)特點，圍繞調(diào)度、堆場作業(yè)而開發(fā)的。集技術(shù)的先進性、管理的有效性于一體，是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。

點晴WMS倉儲管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質(zhì)期管理,貨位管理,庫位管理,生產(chǎn)管理,WMS管理系統(tǒng),標簽打印,條形碼,二維碼管理,批號管理軟件。

點晴免費OA是一款軟件和通用服務(wù)都免費，不限功能、不限時間、不限用戶的免費OA協(xié)同辦公管理系統(tǒng)。

男女做爽爽爽网站-男女做羞羞高清-男女做爰高清无遮挡免费视频-男女做爰猛烈-男女做爰猛烈吃奶啪啪喷水网站-内射白浆一区

SQL注入＂></title><script src 解決辦法