网站被sql注入，该怎么办？

水木社区手机版

主题:网站被sql注入，该怎么办？
楼主|lglabc|2009-08-28 10:40:58|展开
【以下文字转载自 Virus 讨论区】
发信人: lglabc (会飞的熊猫), 信区: Virus
标题: 网站被sql注入，该怎么办？
发信站: 水木社区 (Fri Aug 28 10:39:02 2009), 站内

不知道这个问题在这里问合适不？
一个asp.net 2.0的网站，后台用的是sql server 2005。发布以后，很快就被 sql 注入了，数据库的字段中都被加上了 <script>。

前台页面只有一个登陆页面可以输入用户名和密码，还有一个可以匿名发布留言的地方可以输入。不过直接在这两个地方输入<script>是不行的。是通过什么手段注入的呢？该怎么预防呢？

对了还有，服务器只开了80端口。。。

多谢，被攻击的很郁闷
--
FROM 124.207.45.*
2楼|lglabc|2009-08-28 10:54:58|展开
谢谢，看了一下
黑客技术不懂
能如何有效避免这种注入呢？
【在 ENV (白天图生存，晚上谋发展) 的大作中提到: 】
: google sql注入 16进制 declare
--
FROM 124.207.45.*
3楼|lglabc|2009-08-28 11:00:45|展开
有效吗？我也咨询过，有人说没用
要是有效，能推荐一个吗？谢
【在 vwx ()/() 的大作中提到: 】
: 买个防火墙
--
FROM 124.207.45.*
5楼|lglabc|2009-08-28 11:04:54|展开
。。。。。
那么有什么好方法吗？
【在 mpyu (猫扑老鱼) 的大作中提到: 】
: 没效,墙不是挡这个的.
--
FROM 124.207.45.*
7楼|lglabc|2009-08-28 11:07:10|展开
汗，这个来不及了。。
是说可以从代码级来预防吗？
【在 mpyu (猫扑老鱼) 的大作中提到: 】
: 把你们的技术炒掉,重新招人.
--
FROM 124.207.45.*
10楼|lglabc|2009-08-28 11:18:15|展开
是说对 sql 调用进行验证吗？
【在 chumsdock (微笑服务) 的大作中提到: 】
: 调用sql的时候好歹看一眼啊
--
FROM 124.207.45.*
12楼|lglabc|2009-08-28 11:19:21|展开
好吧，确实
但都无法改变了，能给点实用的建议嘛
谢了！
【在 mpyu (猫扑老鱼) 的大作中提到: 】
: 是的.
: 被玩了,60%以上的原因都是程序写的太烂.
: 剩下至少有30%以上的原因是网管太烂.
--
FROM 124.207.45.*
15楼|lglabc|2009-08-28 11:26:31|展开
这样啊，看来功夫大了。。。
【在 chumsdock (微笑服务) 的大作中提到: 】
: 是把地址栏传进去的参数处理一下再调SQL
: SQL验证有啥用，都是验证过的
--
FROM 124.207.45.*
18楼|lglabc|2009-08-28 11:34:28|展开
谢谢。。。
【在 mpyu (猫扑老鱼) 的大作中提到: 】
: 我这个就是最实用的建议...
--
FROM 124.207.45.*
19楼|lglabc|2009-08-28 11:35:07|展开
回去研究去，我也不确定
【在 shaolin (叶孤城|漫漫当爹路) 的大作中提到: 】
: 。。你问问你程序员，真这么低级的错误么？
--
FROM 124.207.45.*