最友好的SQL注入防御方法(转)

最新推荐文章于 2024-06-27 23:40:01 发布
最新推荐文章于 2024-06-27 23:40:01 发布
阅读量151 收藏
点赞数
最友好的SQL注入防御方法(转)

  不知道是不是有些人给SQL注入吓怕了,把一大堆根本对系统安全没威胁的字符(比如"号,%号等)都过滤了(甚至NB联盟有些人居然也这样做),使得一些系统的User Interface极不友好,经常出现"输入特殊字符"的提示,造成用户的流失.

  以下是根据我一年注入经验的总结,在绝对安全的前提下,过滤得最少,最友好的防注入方法:

  1.数字型变量:用isNumeric()判断是否为数字

  2.字符型或其它类型变量:将单引号'替换成两个

  下面给出两个函数,用来代替ASP的Request函数,只要每处地方使用这两个函数取值,SQL注入根本没有用武之地.

  '----------------------------------------------------------------

  ' 获取数字型参数

  '----------------------------------------------------------------

  Function ReqNum ( StrName )

  ReqNum = Request ( StrName )

  if not isNumeric ( ReqNum ) then

  response.write "参数必须为数字型!"

  response.end

  end if

  End Function

  '----------------------------------------------------------------

  ' 获取字符型参数

  '----------------------------------------------------------------

  Function ReqStr ( StrName )

  ReqStr = Replace ( Request(StrName), "'", "''" )

  End Function

  

本文来自:http://www.linuxpk.com/30101.html

--&gtlinux电子图书免费下载和技术讨论基地

·上一篇: 静态缓存和动态缓存的比较

·下一篇: 令网站提速的7大秘方
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定

关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117446/,如需转载,请注明出处,否则将追究法律责任。

0
0
上一篇: 重新审视你的WAN以节省费用(转)
下一篇: 令网站提速的7大秘方(转)
user_pic_default.png
请登录后发表评论 登录
全部评论
<%=items[i].createtime%>

<%=items[i].content%>

<%if(items[i].items.items.length) { %>
<%for(var j=0;j
<%=items[i].items.items[j].createtime%> 回复

<%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%><%=items[i].items.items[j].content%>

<%}%> <%if(items[i].items.total > 5) { %>
还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看
<%}%>
<%}%> <%}%>
ilg

注册时间:2002-06-18

  • 博文量
    1715
  • 访问量
    1297601

最新文章

支持我们 作者招募 用户协议 FAQ Contact Us

北京盛拓优讯信息技术有限公司. 版权所有  京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号:11010802021510

广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员

转载于:http://blog.itpub.net/14102/viewspace-117446/

cuemes08808
关注
SQL注入SQL注入防御
caoxinjian423的博客
03-07 716
一、SQL注入防御方法 1、过滤关键字符 对一些sql语句中可能出现的关键词进行过滤 2、编码/义特殊符号 对用户输入的编码进行编码或义,使其无法产生原有效果 3、语义分析拦截(比如Python中的libinjection) 对用户输入进行判断,保证不存在于任意可执行的sql语句的片段中 https://github.com/client9/libinjection ...
防御SQL注入方法总结
weixin_34186128的博客
07-20 1384
这篇文章主要讲解了防御SQL注入方法,介绍了什么是注入注入的原因是什么,以及如何防御,需要的朋友可以参考下 SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。 SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询...
sql注入防御
巅峰测试
08-03 1348
 网站的噩梦——SQL注入SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。防御SQL注入妙法第一步:下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果
SQL注入防御方法
最新发布
weixin_57763462的博客
06-27 544
1.使用预编译语句(Prepared Statements)和参数化查询:这是预防SQL注入的最有效方法之一,通过这种方式,可以确保SQL语句的结构在编译时就确定下来,之后传入的参数不会改变语句的结构,因此可以避免注入攻击。6.限制数据库权限:为应用程序使用的数据库账户只赋予必要的权限,避免使用具有高级权限的账户,这样即使发生注入攻击,攻击者能做的也非常有限。3.使用ORM(对象关系映射)工具:许多现代编程框架提供了ORM工具,它们可以自动进行参数化查询,从而降低直接编写SQL语句的风险。
SQL注入防御
Kali与编程
12-12 941
布尔盲注攻击是一种类似于基于时间的盲注攻击的注入攻击类型,其原理是通过构造恶意的SQL语句,在应用程序执行SQL语句时,通过观察应用程序的响应结果来推断SQL语句是否执行成功。其中,-u参数指定要测试的URL,–batch参数指定以批处理模式运行SQLMap,–crawl参数指定爬行深度为1,–level参数指定注入测试的深度,–risk参数指定注入测试的风险级别,–threads参数指定使用的线程数。这样,如果应用程序受到SQL注入攻击,可以追踪攻击者的活动,并且采取适当的措施来防止类似的攻击。
SQL注入防御方法
weixin_54894046的博客
10-19 253
SQL注入防御方法 5种
SQL注入防御
小炀的博客
03-30 1473
SQL注入 什么是SQL注入:是指通过构建特殊的输入作为参数传入web应用程序,而这些输入大多数是SQL语法的一些组合 SQL漏洞产生的原因:程序没有细致的过滤用户输入的数据,导致非法数据入侵系统 SQL注入原理:SQL注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数中,再在后台SQL服务器上解析执行进行的攻击 说个题外话 我们做运维还有做云计算的朋友应该都比较清楚用户的数据都依托于...
SQL注入攻击与防御 第2版》PDF版本下载.txt
07-17
通过实施有效的防御措施,如参数化查询、输入验证以及采用安全编码实践等方法,可以大大降低受到SQL注入攻击的风险。同时,持续的安全培训和技术更新也是保持系统安全的重要因素。 #### 七、参考资料 - 《SQL注入...
有效防止SQL注入的5种方法总结
09-09
参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为...
WEB系统中SQL注入防御方法的研究.pdf
09-19
SQL注入防御方法SQL注入是一种常见的网络安全威胁,它允许攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而获取、修改、删除数据库中的敏感信息,甚至控制整个服务器。这种攻击方式的危害极大,尤其...
浅谈防御sql注入
quan9i的博客
03-08 5196
文章目录前言防御手段sql语句预编译规定变量格式过滤字符串和正则通配符关闭PDO部分功能义特殊字符 前言 文章同步于我的个人博客中,欢迎大家访问 众所周知,sql注入是比较常见的一种攻击方式,我们通常学习了很多攻击手段,例如联合查询,二次注入,报错注入,布尔盲注,时间盲注等等,但我们此时仅仅学会了如何得到数据,那如果反过来,让我们保护数据,此时该如何防御sql注入呢,我浅学了一点,并总结如下,希望能对正在学习sql注入的人有一点帮助.。 博主只是一个小白,如果出现问题还请各位师傅多多指教 防御手段 sql
SQL注入及其防御
2301_76717406的博客
03-09 1860
sqlmap是一个开源的渗透测试工具,用于自动化检测和利用Web应用程序中的SQL注入漏洞。它被广泛用于安全专业人员和研究人员测试Web应用程序的安全性,并识别潜在的漏洞,这些漏洞可能会被攻击者利用。sqlmap能够检测各种类型的SQL注入漏洞,如盲注、基于错误的注入和基于时间的注入,并可用于提取数据库信息、储表格,甚至接管底层数据库服务器。sqlmap适用于市面上的大部分数据库;SQL注入是一种常见的网络安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来攻击数据库系统。
关于SQL注入防御
Wang的专栏
06-12 2545
一般攻击者会假设网站有sql注入的漏洞,比如这个查询语句: 攻击者假设这个10是文章的id, 攻击者就会猜测可能是上面的sql语句 页面上输入的参数是10,这时候,就可以拼凑测试,比如在url上拼接 1 ) 判断是否可以注入, 一般而言,如果可以的话页面正常,不报错,但是也有其他情况,如下 这两个都没什么反应,不报错,页面正常,说明后面的and没有起作用 攻击者会猜测可能是字符串存在引号的问题, 继续尝试 这样如果页面出错,那么继续修改 这时候页面不报错 这种情况(恒等正常,恒不等报错)就说明,一
如何防御sql注入
love_521_的博客
03-17 1100
1,永远不要信任用户的输入,对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双引号进行换 2,永远不要使用动态拼接sql,可以使用参数化的sql或者直接使用存储过程进行数据查询 3,永远不要使用管理员权限连接数据库,为每个应用使用单独的权限连接数据库 4,不要把机密信息直接存放,加密或者hash掉密码和敏感的信息 5,应用的异常信息,应该给出可能少的提示,最好使用自定义的错误信息,对原是错误信息进行包装。 如果大家有好的方法,可以在下方留言。 ...
MySQL注入攻击与防御
3569
10-24 4069
本文主要是做一个Mysql的注入总结,对于Mysql来说利用的方式太过于灵活,这里总结了一些主流的一些姿势,如果有好的姿势可以多加交流,文章如果有错也欢迎各位dalao指出:) [TOC] 注入常用函数与字符 下面几点是注入中经常会用到的语句 控制语句操作(select, case, if(), …) 比较操作(=, like, mod(), …) 字符串的猜解操作
常见的sql注入防御方法
06-13
以下是一些常见的SQL注入防御方法: 1. **参数化查询(Parameterized Queries)**:这是最有效的防御手段之一,它将SQL语句中的用户输入作为参数传递给查询,而不是直接拼接到SQL文本中。这样可以避免解析器执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值