如何确保登陆界面防止被注入

最新推荐文章于 2021-03-26 17:36:48 发布
最新推荐文章于 2021-03-26 17:36:48 发布
阅读量701 收藏
点赞数
分类专栏: 渗透测试 文章标签: 数据库 session login system user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackerworld/article/details/4227924
版权

为什么会产生万能密码?为什么会产生注入漏洞,原因就在于我们把提交的变量直接带入了数据库语句,造成逻辑上的right,下面有一段登陆代码,是截自ewebeditor的登录代码,大家可以参考下,可以防止注入漏洞的出现。

----------------------------------------------------------------------------------------------------------------

Select Case sAction
Case "LOGIN"
 s_Usr = Trim(Request("usr"))
 s_Pwd = Trim(Request("pwd"))
 If s_Usr <> "" And s_Pwd <> "" Then
  sSql = "select * from ewebeditor_system"
  oRs.Open sSql, oConn, 0, 1
  If Not oRs.Eof Then
   If oRs("sys_username") = md5(s_Usr) And oRs("sys_userpass") = md5(s_Pwd) Then
    ' 登录成功
    Session("eWebEditor_User") = s_Usr
    Session("eWebEditor_Version") = oRs("sys_version")
    Response.Redirect "admin_default.asp"
    Response.End
   End If
  End If
  oRs.Close
 End If
 sErrMsg = "提示:用户名或密码错误!"

.......................

----------------------------------------------------------------------------------------------------------------

在这里,系统是从数据库中搞出系统登录用户名表,然后与提交的用户名和密码进行比较,从根本上解决了把提交数据带入数据库。

hackerworld
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp最全功能cms(双界面后台版)
08-16
功能说明: 1.使用静态页和程序页分离技术,网站可自由开启和关闭,实现全站生成静态页,可动静态切换,方便二次开发和后期维护。...15.修正登陆验证代码,防止注入 16.新增双数据库切换,支持access和Sql server切换
YothCMS 企业网站系统源码 v1.1(双后台界面切换版).rar
07-05
YothCMS是由 石家庄优斯科技有限公司开发的一套完全开源建站系统,主要面向企业进行快速的建造简洁,高效,易用,安全的公司企业网...15.修正登陆验证代码,防止注入 16.新增双数据库切换,支持access和Sql server切换
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6415
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
sql注入问题
坤健的博客
08-22 258
mybatis中的#和$的区别: 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  2、$将传入的数据直接显示生成在sql中。 如:where us...
登录防注入最简单的实现
SicongFu的博客
10-09 1852
原来是这样写的,当我登录时输入:' or 1=1 -- 会导致登录成功!这样让我必须要做防注入。 /** * 获取登录用户 * @param userName * @param md5password * @return */ /* @SuppressWarnings("unchecked") public Map getFa
登录防SQL注入的办法
zengguanlin的博客
02-12 1654
先做判断,判断有没有这个账号,有的话再在该条件里匹配密码正不正确。正确以后才允许登录。一定要先做账号判断,再进行匹配密码正不正确。如:if(userName&gt;0){ //查询该账号的密码 passwordTrue ...... //用前端输入的密码password进行判断 if(password.equals(passwordTrue)){ //登录成功 } }...
登录防止SQL注入
Mr_Wang_YF的博客
08-18 1165
登录防止SQL注入登录页面的安全性测试包含一项:防止SQL注入什么是SQL注入防止SQL注入的办法 登录页面的安全性测试包含一项:防止SQL注入 什么是SQL注入 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 例如: 填好正确的用户名(marcofly)和密码(test)后,点击提交,将会返回给我们“欢迎管理员”的界面。 select * from users where username=‘marcofly’
DotBBS开源.NET论坛源码 v2.1
04-02
14 动态改变表名,防止Sql注入,Cookies,Sessions 也采用动态注入机会. 15 增加会员删除,放回收站 16 DotBBS.config与Web.config合并 17 更换编辑器,能比较好的兼容浏览器,上传文件能以自动重命名 18 Sql...
现代化架构下企业统一身份认证和授权实现.pdf
12-28
* 所有接入企业统一身份认证和授权系统的应用,必须采用相同的登陆界面,禁止使用自身的登陆页面。 * 应用系统中禁止用户的创建、修改和删除,也禁止对帐户的属性等进行修改,这些操作在统一数据源中完成维护。 * ...
asp超简留言社区系统
01-17
超简傻瓜式jianbook1.0发布: ...1:论坛太复杂雍总,普通留言板又太简单,而且网上留言板界面和体验太差,所以自己做了一个超简的留言板; 2:程序采用asp+access,...5:敏感词屏蔽,防止sql注入等安全权限!(待更新)
如何防止html注入
壁花girl的博客
11-22 5315
在编写代码中,如何防止html注入?我们可以把输入的html便签转换为空字符串 var content=$("#content").val(); //防止html注入,标签转空字符串 var content1=content.replace(/]+?>/g,''); 也可以把html标签直接转码 //HTML标签转码 function html2Escape(sHtml)
登录过程中密码的安全和攻击风险
viqjeee的博客
03-26 1840
登录过程中密码的安全和攻击风险前言1 服务器端不要保存密码明文2 服务器端也不能保存密码的哈希值3 密码加盐4 注意客户端保存的密码5 避免传送明文密码6 避免直接传送密码哈希7 不能把加盐的哈希值传到服务器8 增加随机数一起做哈希9 设计好注册流程 前言 我们在开发app客户端的时候,最主要的一个模块就是用户登陆模块,其中用户密码的验证和保存流程是极易引起安全风险,各种注入攻击、重放攻击、拖库风险等,都会危机到用户的账号安全,今天从用户登陆密码验证流程角度探讨下密码安全。 1 服务器端不要保存密码明
浅谈html转义及防止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义? html转义是将特殊字符或html标
SQL注入-万能密码注入原理
godHhh的博客
08-01 8076
用户进行用户名和密码验证时,网站需要查询数据库。查询数据库就是执行SQL语句。 用户登录时,后台执行的数据库查询操作(SQL语句)是: 【Select user_id,user_type,email From users Where user_id=’用户名’ And password=’密码’】。 2.由于网站后台在进行数据库查询的时候没有对单引号进行过滤,当输入用户名【admin】和万能...
一个项目学会前端实现登录拦截
爬虫 的博客
06-29 8521
一个项目学会vue全家桶+axios实现登录、拦截、登出功能,以及利用axios的http拦截器拦截请求和响应。 前言 该项目是利用了Github 提供的personal token作为登录token,通过token访问你的Repository List。通过这个项目学习如何实现一个前端项目中所需要的 登录及拦截、登出、token失效的拦截及对应 axios 拦截器的使用。
怎么增加一个登陆界面的校验
最新发布
05-31
增加一个登陆界面的校验,可以分为以下步骤: 1. 在登陆页面中增加校验的元素,如验证码输入框、密码强度指示器等。 2. 在后端代码中编写校验的逻辑,对用户提交的数据进行过滤和验证。具体的校验方式可以根据实际...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值