- 主题:网站被sql注入,该怎么办?
调用sql的时候好歹看一眼啊
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 谢谢,看了一下
: 黑客技术不懂
: 能如何有效避免这种注入呢?
: ...................
--
FROM 166.111.39.29
估计地址传进去的东西看都没看就往SQL里面塞
【 在 mpyu (猫扑老鱼) 的大作中提到: 】
: 是的.
: 被玩了,60%以上的原因都是程序写的太烂.
: 剩下至少有30%以上的原因是网管太烂.
: ...................
--
FROM 166.111.39.29
是把地址栏传进去的参数处理一下再调SQL
SQL验证有啥用,都是验证过的
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 是说对 sql 调用进行验证吗?
--
FROM 166.111.39.29
我们系的主页,直接在?id=123后加个',就开始出来SQL调试信息了
【 在 shaolin (叶孤城|漫漫当爹路) 的大作中提到: 】
: 应该没这么低级吧?
: 如果只在页面做验证,那他那帮程序员真该下岗了。
--
FROM 166.111.39.29
传进来参数先过一遍正则
SQL最怕的不就是'么
【 在 jyr (aksai) 的大作中提到: 】
: 自己编写个补丁,
: 对所有从浏览器送来的变量,先判断一下是否有一些SQL的命令关键字。
: 如果有,警告之,并不要送给SQL 去执行。
: ...................
--
FROM 166.111.39.29