修复SQL注入漏洞 两种方法

最新推荐文章于 2024-05-13 03:26:30 发布
最新推荐文章于 2024-05-13 03:26:30 发布
阅读量2.3k 收藏 1
点赞数

之前在网上找到一个在线的网站漏洞扫描工具,叫亿思平台,是一个免费的web安全扫描平台。反正免费,就测试自己的一个网站,没想到还真扫描出SQL注入漏洞。但里面没有提供自动修复功能,需要自己动手来修复。经过反复查看论坛资料,还真让我找到解决方案。现在给大家分享一下如何修复SQL注入漏洞。

首先,我的网站漏洞是典型的or=or注入漏洞,也属于比较常见的漏洞。下面是网上的两种解决方法,其中第二方法有自己本身测试可以的。


方法1: Replace过滤字符
解决方法:查找login.asp下的
username=request.Form("name")
pass=request.Form("pass")

修改为:
username=Replace(request.Form("name"), "’", "’’")
pass=Replace(request.Form("pass"), "’", "’’")

语法是屏蔽’’字符来达到效果.

方法2:在conn.asp 内加入
注:(前提 登陆页面有)

把以下代码保存为safe.asp

下面是程序代码********************************************************
Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name
Err_Message = 3
Err_Web = "safe.htm"
出错时转向的页面

Query_Badword="’|and|select|update|chr|delete|%20from|;|insert|mid|master.|set|chr(37)|="
在这部份定义get非法参数,使用"|"号间隔

Form_Badword="’|(|)|;|="
在这部份定义post非法参数,使用"|"号间隔

On Error Resume Next

if request.QueryString<>"" then
Chk_badword=split(Query_Badword,"|")
FOR EACH Query_Name IN Request.QueryString
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.QueryString(Query_Name)),Chk_badword(i))<>0 Then
Select Case Err_Message
Case "1"
Response.Write "
Case "2"
Response.Write "
Case "3"
Response.Write "
End Select
Response.End
End If
NEXT
NEXT
End if
if request.form<>"" then
Chk_badword=split(Form_Badword,"|")
FOR EACH name IN Request.Form
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.form(name)),Chk_badword(i))<>0 Then
Select Case Err_Message
Case "1"
Response.Write "
Case "2"
Response.Write "
Case "3"
Response.Write "
End Select
Response.End
End If
NEXT
NEXT
end if
%>

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/25538717/viewspace-689627/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/25538717/viewspace-689627/

cuanli7032
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
13sql注入修复
技术骨干小李的博客
07-27 2970
sql注入修复思路
html sql注入_常见SQL注入方法
weixin_39894233的博客
12-01 1488
WEB安全之SQL注入引言:在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。1、SQL注入步骤a)寻找注入点,构造特殊的语句传入SQL语句可控参数分为两类1. 数字类型,参数不用被引号括起来,如?id=12. 其他类型,参...
解决sql漏洞
m0_62102386的博客
07-11 673
查询多行多列。
SQL 注入漏洞原理以及修复方法_sql注入漏洞
最新发布
2401_84969310的博客
05-13 912
注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。(2)Admin’ - -(或‘ or 1=1 or ‘ - -)(admin or 1=1 --) (MS SQL)(直接输入用户名,不进行密码验证)(3)用户名输入:admin 密码输入:’ or ‘1’=’1 也可以。
跨站脚本攻击XSS
weixin_45596492的博客
03-24 2616
漏洞描述 SQL注入是一种网络安全漏洞,允许攻击者干扰应用程序对其数据库的查询。它通常允许攻击者查看他们无权检索的数据,这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,导致应用程序的内容或行为发生持续变化。 在某些情况下,攻击者可以升级SQL注入攻击,以破坏底层服务器或其他后端基础设施,或执行拒绝服务攻击。 漏洞影响 成功的SQL注入攻击会导致未经授权访问敏感数据,如密码、信用卡细节或个人用户信息。近年来,许多备受瞩目的数据泄露事件都是
【网络安全】SQL注入漏洞修复建议
Yb528970805的博客
09-25 1799
修复SQL注入漏洞需要仔细过滤危险字符和使用参数化查询或预编译语句。这两种方法可以有效地保护您的应用程序免受SQL注入攻击的威胁。在编写代码时,请始终考虑安全性,以确保您的应用程序和用户的数据都得到充分的保护。如果你也需要学网络安全,成为一名白帽黑客,可以看这份2023年最详细最全面的教程资料合集内容【戳下文链接即可学习】自学网络安全(黑客)技术多长时间能达到就业的水平?t=N7T8自学网络安全(黑客)技术多长时间能达到就业的水平?
漏洞篇(SQL注入三)_sql注入漏洞解决方法,最新网络安全架构师成长路线
2401_83974142的博客
04-14 839
代码中过滤了 or 和 AND,大小写同样都被过滤了。
自己动手编写SQL注入漏洞扫描工具
12-01
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是学习并创建一个用于检测SQL注入漏洞的软件工具。SQL注入是一种常见的网络安全问题,攻击者通过输入恶意的SQL代码来获取、修改或删除数据库中的敏感信息。本资源...
SQL注入漏洞挖掘.pptx
10-27
SQL 注入漏洞的测试方式可以分为两种:手工测试和自动化测试。 手工测试是指攻击者手动构造测试语句,并分析返回结果,以判断是否存在 SQL 注入漏洞。手工测试的优点是灵活性高,测试范围广泛,但缺点是效率低,...
基于攻击反馈模型的SQL注入漏洞渗透测试方法.pdf
01-04
本文提出了一种基于攻击反馈模型的SQL注入漏洞渗透测试方法,该方法可以提高SQL注入漏洞渗透测试的准确度和效率。该方法基于攻击反馈模型,通过梳理SQL注入攻击逻辑和攻击树构建多种攻击反馈测试单元,实现了一种...
最新SQL注入漏洞修复建议
m0_74360619的博客
02-02 425
多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load_file等关键字。如果匹配到,则退出程序。使用PDO预编译语句时需要注意的是,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库中数据的增加、删除、修改、查询。使用过滤的方式,可以在一定程度上防止出现SQL注入漏洞,但仍然存在被绕过的可能。常用的SQL注入漏洞修复方法两种
SQL注入漏洞解决心得
Chumy_CC的博客
07-14 3636
SQL注入有哪些危害? 1、攻击者未经授权可访问数据库中的数据,盗取用户信息,造成用户数据泄露。 2、对数据库进行增删改查操作,导致权限模糊或丢失 3、可植入木马,篡改数据等
ASP+ACCESS SQL注入漏洞修复代码
caizi001的专栏
05-07 3535
最近发现公司的网站被写入了些代码,应该是被注入入侵了,我们的企业网站是几年前做的,使用的是asp+access做的,现在在网上找到了一些修复漏洞方法先给两种万能的防注入代码(放置conn.asp中) 第一种: squery=lcase(Request.ServerVariables("QUERY_STRING")) sURL=lcase(Request.ServerVariable
(SQL)注入漏洞修复
qq_31763129的博客
05-09 6908
一、 /include/filter.inc.php文件,搜索(大概在46行的样子)      return $svar;      修改为      return addslashes($svar);      二、/member/mtypes.php文件,搜索(大概在71行的样子)      $query = "UPDATE `dede_mtypes` SET mtypename='$name...
SQL注入
acepanhuan的博客
02-09 506
SQL注入原理
ASP.NET SQL 注入免费解决方案
学习的约束力,提醒自己
02-09 913
 UrlScan的3.1是一个安全的工具,限制了IIS的HTTP请求将处理类型。 <span onmouseover="function onmouseover(){function onmouseover(){_tipon(this)}}" onmouseout="function onmouseout(){function onmouseout(){_t
asp 网站被 sql 注入后的处理办法。
KimSoft's Blog
01-18 2219
1、varchar 类型的直接replace一下就ok了。 如:"update [t_information] set publisher=replace(publisher, , )" 2、text字段,就要麻烦一下(超过8000就要另想办法了)"update [t_information] set AuthorInfor=replace(cast(AuthorInf
sql注入原理、危害及修复建议
任浩的博客
12-16 7417
原理:sql注入,简而言之就是攻击者将一个sql语句或字符注入到一个web应用程序中使其能够进行任意访问,web应用程序没有强大的功能或者说是不严谨,在对用户输入的数据的合法性没有进行严格的筛选和过滤,导致攻击者利用这一漏洞进行入侵。 危害:1、获取企业、个人未经授权的隐私信息,一些机密数据 2、网页内容伪造篡改 3、数据库、服务器、网络(内网、局域网)受到攻击,严重时可导致服务器瘫痪,无法正常运行 修复建议:1、对数据库进行严格监控 2、对用户提交数据信息严格把关,多次筛选过滤 3、用户内数据内容进行.
mysql sql注入漏洞修复_SQL注入漏洞解析与靶场复现
weixin_36043375的博客
02-26 1192
1. 概述SQL注入(SQL Injectioin)漏洞是注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中,前端的数据传入后端时,没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行,从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限沦陷等一系列危害。注入攻击的本质是把用户输入的数据当作代码执行。造成注入攻击有两个关键条件:①用户能够...
centos 检测 SQL 注入漏洞
07-25
这里提供两种常用的方法: 1. 使用工具进行自动化扫描: - SQLMap:这是一个专门用于检测和利用 SQL 注入漏洞的开源工具。你可以在 CentOS 上安装 SQLMap,并使用它来扫描网站或应用程序中的可能存在的 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值