防范SQL注入攻击的新办法

最新推荐文章于 2024-08-15 11:29:03 发布
最新推荐文章于 2024-08-15 11:29:03 发布
阅读量713 收藏 1
点赞数
分类专栏: ASP 文章标签: sql function javascript insert delete table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weilian000/article/details/1699472
版权
今天一个朋友的网站被人SQL注入攻击。
故借此机会给大家找了些资料,以后发生了可以有防范的办法
以下是引用片段:
Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=Request(ParaName)
if IsNumeric(ParaValue) = True then
SafeRequest=ParaValue
exit Function
elseIf Instr(LCase(ParaValue),"select ") > 0 or Instr(LCase(ParaValue),"insert ") > 0 or Instr(LCase(ParaValue),"delete from") > 0 or Instr(LCase(ParaValue),"count(") > 0 or Instr(LCase(ParaValue),"drop table") > 0 or Instr(LCase(ParaValue),"update ") > 0 or Instr(LCase(ParaValue),"truncate ") > 0 or Instr(LCase(ParaValue),"asc(") > 0 or Instr(LCase(ParaValue),"mid(") > 0 or Instr(LCase(ParaValue),"char(") > 0 or Instr(LCase(ParaValue),"xp_cmdshell") > 0 or Instr(LCase(ParaValue),"exec master") > 0 or Instr(LCase(ParaValue),"net localgroup administrators") > 0  or Instr(LCase(ParaValue)," and ") > 0 or Instr(LCase(ParaValue),"net user") > 0 or Instr(LCase(ParaValue)," or ") > 0 then
Response.Write "<script language='javascript'>"
Response.Write "alert('非法的请求!');"  '发现SQL注入攻击提示信息
Response.Write "location.href='http://dev.yesky.com/';"  '发现SQL注入攻击转跳网址
Response.Write "<script>"
Response.end
else
SafeRequest=ParaValue
End If
End function

使用SafeRequest函数替换你的Request
 
洋_子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
注入攻击防御方法
weixin_42604188的博客
12-25 260
注入攻击是一种常见的网络安全攻击, 它指的是攻击者通过向应用程序注入恶意数据来破坏系统的安全性或绕过安全限制. 在注入攻击中, 攻击者可以利用应用程序的输入验证和过滤功能不足, 将恶意代码注入到数据库、网站或其他应用程序中. 为了防范注入攻击, 你可以采取以下措施: 对输入数据进行严格的过滤和验证: 应用程序应该对所有输入数据进行严格的过滤和验证, 确保只有合法的数据能够通过. 使用参数化查询...
防范SQL注入的几种方法 4
weixin_34152820的博客
11-15 203
sql="SELECTIDT_ID,NAMEFROMCategorywhereID="&ID&"ORDERBYxhasc" rs.opensql,conn,1,1四,我自己常用的数据过滤脚本,专利,呵~id=replace(id,”’”,””)Iflen(request(“id”))>8t...
网站mysql防止sql注入攻击 3种方法总结
网站安全专家
10-11 1万+
mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如何防止sql注入呢?下面我们SINE安全技术针对于这个sql注入问题总结3种方案去防止sql注入攻击sql注入产生的原因很简单,就是访问用户通过网站前端对网站可以输入参数的地方进行提交参数,...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6520
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入攻击常见方式及预防方法
Hehuyi_In的博客
08-13 1万+
开发同事反馈有系统收到SQL注入的风险告警,整理一下SQL注入攻击常见方式及预防方法。 SQL注入攻击是输入参数未经过滤,直接拼接到SQL语句当中解析,执行达到开发者预想之外行为的攻击方式。 下面是网上找到的例子 一、如何进行SQL注入攻击 以php编程语言、mysql数据库为例,介绍一下SQL注入攻击的构造技巧、构造方法 1. 数字注入 在浏览器地址栏输入:learn.me/sql/article.php?id=1,正常情况下,应该返回一个id=1的文章信息。这是一个get型接口,发送..
网络安全-SQL注入原理、攻击及防御
热门推荐
关注网络安全、云原生安全
07-12 2万+
目录 SQL注入原理 SQL注入条件 防御SQL注入的方法 使用预编译语句 使用存储过程 检查数据类型 使用安全函数 SQL注入原理 程序员没有遵循代码与数据分离原则,使用户数据作为代码执行。 SQL注入条件 用户可以控制数据的输入。 原本要运行的代码拼接了用户的输入。 防御SQL注入的方法 使用预编译语句 绑定变量,攻击者无法改变SQL的结构。不同的编程语言Java、Php有不同的语法,就不做展示了。 使用存储过程 使用安全的存储过程对抗SQL注入,由于存储过程中也可能存在
sql注入攻击详解(三)sql注入解决办法
gtlishujie的博客
07-04 5787
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞Java web开发的小程序员,所以这里我只讲一下有关于java web的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入: 1、普通用户与系统管理员用户的权限要有严格的区分。
JSP 防范SQL注入攻击分析
10-30
在本文中,作者以自己的亲身体验,详细地分析了SQL注入攻击的原理和防范措施。 首先,作者强调了SQL注入攻击的三个基本步骤。第一步是发现SQL注入点,攻击者通常会通过在输入字段中插入特殊的SQL代码片段来检测网站...
ASP.NET防范SQL注入攻击的方法
01-02
一、什么是SQL注入攻击?  SQL注入攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
实例讲解SQL注入攻击
02-26
SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本...
sql注入实例分析
weixin_30624825的博客
07-23 3449
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
什么是注入式攻击,如何防止sql注入攻击
qq_43956225的博客
10-14 2226
什么是SQL注入攻击? a. 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 b. 在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。 c. 常见的SQL注入攻击过程例如: (1) 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 (2) 登录页面中输入的内容将直接用来构造动..
nginx中防止SQL注入规则(非常详细)
lyj1101066558的博客
01-11 1万+
$request_uri This variable is equal to the *original* request URI as received from the client including the args. It cannot be modified. Look at $uri for the post-rewrite/altered URI. Does not includ
Sql与Rce注入相关漏洞复现
山月不问人间事
08-12 741
‌这些查询可以是SELECT、‌INSERT、‌UPDATE或DELETE等,‌它们将在数据库中按顺序处理,‌尽管它们是在单个函数调用中发送的。假设我发送的是这样一个请求:i_d=1&i.d=2 ,php先将i.d转换成i_d,即为i_d=1&i_d=2 ,再获取到的$_REQUEST['i_d']就是2。可在$_SERVER['REQUEST_URI']中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$_REQUEST['i_d']却是1。参数是可选的,‌用于限制分割后的数组元素数量。
sql注入实战——thinkPHP
Sesessep的博客
08-11 1062
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15中,改名为thinkphp再将think-5.0.15放到WWW文件夹中输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
sql】MySQL 中的数值格式化函数:FORMAT、ROUND 和 TRUNCATE
longforone的博客
08-15 326
FORMAT。
NoSQL之 Redis 配置与优化
YYL0019的博客
08-12 742
Redis 服务器程序是单进程模型,也就是在一台服务器上可以同时启动多个Redis 进程, 而 Redis 的实际处理速度则是完全依靠于主进程的执行效率。事实上,每秒同步也是异步完成的,其效率也是非常高的,弊端是一旦系统出现宕机现象,那么这一秒钟之内修改的数据将会丢失。性能最大化,对于Redis的服务进程而言,在开始持久化时,它唯一需要做的只是fork出子进程,之后再由子进程完成这些持久化的工作,这样就可以极大的避免服务进程执行IO操作了。对于普通的BBS 网站,往往也会存在高并发的写数据请求。
hive sql 处理多层 json 数组
最新发布
第一片心意的博客
08-15 665
通过 hive sql,展开包含多层 json 数组的字符串,然后获取到每个子 json 中的值。
漏洞复现-CRMEB 开源商城 sid 参数 SQL 注入漏洞
玄道的网安博客
08-12 417
是使用extractvalue()函数从数据库中提取数据,并检查提取的数据,当与MD5进行哈希时,是否与特定的哈希值匹配。CRMEB打通版v4是免费开源商城系统,UINAPP+thinkphp6框架商城.CRMEB打通版/api/products路径下的sid参数存在未经过滤的SQL语句拼接导致SQL注入攻击者除了可以利⽤ SQL 注⼊漏洞获取数据库中的信息(例如,管理员后台密码、站点的⽤户个⼈信息)之外,甚⾄在⾼权限的情况可向服务器中写⼊⽊⻢,进⼀步获取服务器系统权限。披露日期:2023/10/9。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值