网站防止注入

最新推荐文章于 2021-02-01 09:18:03 发布
最新推荐文章于 2021-02-01 09:18:03 发布
阅读量1k 收藏
点赞数
文章标签: string insert sql calendar 数据库 服务器

http://blog.csdn.net/jingshuaizh/archive/2009/07/30/4394773.aspx

 

最近看到很多人的网站都被注入js,被iframe之类的。非常多。

本人曾接手过一个比较大的网站,被人家入侵了,要我收拾残局。。

1.首先我会检查一下服务器配置,重新配置一次服务器安全,可以参考
http://hi.baidu.com/zzxap/blog/item/18180000ff921516738b6564.html

2.其次,用麦咖啡自定义策略,即使网站程序有漏洞,别人也很难在文件上写入代码了。
参考自定义策略,有了这个策略,再烂的程序,你也无法写入我的文件
http://hi.baidu.com/zzxap/blog/item/efe093a7e0f2c190d04358ef.html

3.可以用网络超级巡警删除被注入的JS代码。
参考
http://hi.baidu.com/anlish/blog/item/ba45bb18eac77e0534fa4134.html

4.如何批量删除数据库中被注入的代码?
在数据库查询分析器运行这段代码即可

SQL code

5.创建一个触发器,只要有 </script>就不给插入,对性能会有点影响 SQL code
6.最重要的还是程序的写法,用参数化SQL或存储过程
例如
7.通过URL传递的参数要用加密解密 C# code 
   
   

    
    
传输


    
    string

    
     szTmp 

    
    =

    
     

    
    "

    
    safdsfdsafdsfytrsd

    
    "

    
    ;
szTmp 

    
    =

    
     Server.UrlEncode(szTmp); 
接收
STRING STRA

    
    =

    
    Server.UrlDecode(request.querystring(szTmp));



8.把要使用的参数处理一下单引号,再放到SQL里面 
  例如 string stra=aa.replace("'","''")

  用参数化SQL可以不用处理单引号
  指定参数类型和过滤掉单引号,就可以杜绝99.9%入侵了


另外说一句:网上那些被人奉如圣经的过滤 update insert  等关键字的程序是用处不大的  upupdatedate 过滤掉 update还是update
还会造成不必要的麻烦


欢迎各位高手 高人 牛人 补充指点批评

lhooouuu
关注
网站注入通用代码
12-14
网站注入通用代码 用于ACCESS、 MS-SQL
C#SQL注入代码的三种方法
12-31
为了提高网站的安全性,首先网站注入,最重要的是服务器的安全设施要做到位。  下面说下网站注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化...
如何防止网站注入攻击
菜菜鸟_黑马的专栏
08-24 887
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而
如何防止网站SQL注入攻击?
网站安全专家
06-26 1310
移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑,随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击,网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员数据被盗走,这无意是给网站带来了严重的影响与经济损失。  像之前的高考网站被黑,高考完的学生们去查高考分数的这种急迫心情,就这么被攻击者给破坏,导致...
防止SQL注入的五种方法
chenyuanyuan1992的博客
05-29 358
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台...
常用网站防止注入方法
weixin_34232363的博客
02-05 205
1.创建触发器,只要有</script>就不给插入,对性能会有点影响 create trigger tr_table_insertupdateon tablenamefor insert,updateasif exists (select 1 from inserted where data like '%</script>%')begin 2.使用参数化的SQL...
SQL Server网站注入攻略.pdf
09-19
SQL Server网站注入攻略.pdf
网站注入系统
03-01
网站注入系统.rar
360提供的phpsql注入代码修改类
05-02
阅读`readme.md`文件,通常会详细解释如何引入和使用这个注入类,包括类的初始化、方法调用以及如何在实际的SQL查询和HTTP处理中集成这些护机制。类的设计可能会包含如`escape_string()`用于转义SQL字符串,`...
网站mysql防止sql注入攻击 3种方法总结
热门推荐
网站安全专家
10-11 1万+
mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如何防止sql注入呢?下面我们SINE安全技术针对于这个sql注入问题总结3种方案去防止sql注入攻击。 sql注入产生的原因很简单,就是访问用户通过网站前端对网站可以输入参数的地方进行提交参数,...
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
网站注入代码
江湖浪子的专栏
09-06 512
 --------定义部份------------------Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,Kill_IP,WriteSql自定义需要过滤的字串,用 "|" 分隔你可以自定义更多的Fy_In = "|exec|insert|select|delete|update|count|%|chr|mid|master|t
总结一下网站注入范的方法
rain的专栏
07-30 585
http://topic.csdn.net/u/20090729/14/26381958-0D6E-4B90-BC90-D275E9621F93.html 最近看到很多人的网站都被注入js,被iframe之类的。非常多。 本人曾接手过一个比较大的网站,被人家入侵了,要我收拾残局。。 1.首先我会检查一下服务器配置,重新配置一次服务器安全,可以参考 htt
网站注入,无需复杂部署,只需一键就能
weixin_47942072的博客
02-01 423
在针对数据库的攻击中,sql注入算是比较常见的一种攻击方式,其他攻击大多是通过操作系统的漏洞来实现,而sql注入则是针对sql语句的漏洞进行入侵和篡改。这里给大家讲解一下sql注入的原理和sql注入的危害。 SQL注入的原理相对比较简单,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。   具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏
实现PHP网站整体注入
zjuwangleicn的博客
03-14 491
突然想到是不是能够通过一个文件来处理整个网站中所有可能出现注入的地方进行范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到防止注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来存储所有变量,我...
WEB反注入实战
快快驿站
11-07 1565
前几天在QQ群里聊到了这个小项目,博主花了两周时间码代码而成,颇有些小骄傲。结果当博主发出测试连接后,镜鑫学长10s攻破了首页。 于是博主打算在这个安静的下午采取一些御措施。 首先分析一下镜鑫学长的攻击方式,xss攻击和sql注入。 他通过Js脚本实现了隐藏首页内容,如果是恶意攻击,js还可以控制用户浏览器,后果不堪设想啊。 再就是注入sql了(镜鑫学长只是提到,并没有行动,十分感谢^)
网站安全护-如何防止js注入-服务端设置
11-28 377
csp头进行配置
使用过滤器防止简单的页面SQL注入
zhuxinquan的博客
09-07 9078
在之前写的一个群博系统中,在上线一段时间后,被自己人发现了一个天大的漏洞——SQL注入,自己也是第一次遇到,真是难以置信,后来看到这样一篇文章:java类过滤器,防止页面SQL注入。自己修改了一下,可以解决一般的SQL注入了(最起码使用sqlmap这种工具没有造成注入)。首先说一下在我的系统中造成SQL注入的原因: 大量的SQL语句拼接——为了能够根据不同的请求参数在同一个页面查询后展示,所以在主页
网站防止注入入侵的一些有效代码和方法
汗水挥洒,脑力风暴
08-29 1044
代码一:&apos;--------定义部份------------------  Dim  Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr  &apos;自定义需要过滤的字串,用  " "  分隔  Fy_In  =  "’’’’;andexecinsertselectdeleteupdatecount
网站注入攻略:深度解析与实用案例
"《网站注入攻略》是一份由个人收集整理的学习资料,旨在帮助网站开发者了解和应对SQL注入安全问题。该文档详细涵盖了从入门到高级的各种注入策略,包括但不限于以下几个关键知识点: 1. SQL注入漏洞基础:文档...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值