解决SQL注入
来源:百度知道 编辑:UC知道 时间:2024/06/15 17:13:53
进来网站遭到sql注入,不知道怎么解决,那位高手帮下忙,网站是asp+access的,现在正在苦恼
1、关键字替换
如:%,*
替换成 _%,_*
如输入 :%123=
替换成 _%123=
2 、检索
where ... and name like str(被替换过的字符) escape('_')
解决,关键字替换
3、建议,不要写SQL时,把 前台用户 输入的 内容,直接拿到 SQL作为参数
在后再这样写SQL,是不好的
WHERE .... AND COLUMN = STR(用户输入的内容)
如果,用户输入的是 ' OR 1=1 ,或 '' or 1=1 , (形式很多,不对可以试的)
SQL成了 where ... and COLUMN = '' or 1=1
就,死定了 1=1 ,永远为真,什么都可以检索到啦。
避免这些,可以动态的传入参数,或在前台做check什么的。
在查查,用access ,有防注入攻击。
具体的,我用的是ORACLE,我知道怎么办,access没用过,应该有避免注入攻击的SQL写法的
-----------------
那个网站,贴出来。让我上去注注,,
哈哈
屏蔽关键字
在数据库语句进行操作前还应该做输入的检查
比如说;'<>!=\/等
网站被黑了 没整...
在用户名和密码输入时过滤关键字,如;'<>!=\/等
找到注入点,尽量用参数传值