- 主题:网站被sql注入,该怎么办?
这个貌似就是这类防火墙的原理吧?
不买的话,就得写个这个了
不过前面看到的那种16进制的注入,很变态啊。。
【 在 jyr (aksai) 的大作中提到: 】
: 自己编写个补丁,
: 对所有从浏览器送来的变量,先判断一下是否有一些SQL的命令关键字。
: 如果有,警告之,并不要送给SQL 去执行。
: ...................
--
FROM 124.207.45.*
啥叫16进制的注入?
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 这个貌似就是这类防火墙的原理吧?
: 不买的话,就得写个这个了
: 不过前面看到的那种16进制的注入,很变态啊。。
: ...................
--
FROM 202.106.68.*
前面某高人发的一个东西,让我google
结果找到了很复杂的sql注入方法。。。
【 在 sayinger (言者) 的大作中提到: 】
: 啥叫16进制的注入?
--
FROM 124.207.45.*
先来个参数化查询。
其他具体问题具体分析。
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 汗,这个来不及了。。
: 是说可以从代码级来预防吗?
--
FROM 155.35.248.*
传进来参数先过一遍正则
SQL最怕的不就是'么
【 在 jyr (aksai) 的大作中提到: 】
: 自己编写个补丁,
: 对所有从浏览器送来的变量,先判断一下是否有一些SQL的命令关键字。
: 如果有,警告之,并不要送给SQL 去执行。
: ...................
--
FROM 166.111.39.29
反注入
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 发信人: lglabc (会飞的熊猫), 信区: Virus
: 标 题: 网站被sql注入,该怎么办?
: 发信站: 水木社区 (Fri Aug 28 10:39:02 2009), 站内
: ...................
--
FROM 125.46.70.*
很有可能是拼接sql造成的。
所有执行sql的地方都参数化吧。
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 发信人: lglabc (会飞的熊猫), 信区: Virus
: 标 题: 网站被sql注入,该怎么办?
: 发信站: 水木社区 (Fri Aug 28 10:39:02 2009), 站内
: ...................
--
FROM 124.127.98.*
我以前也遇到这个问题。
这种注入大多不是针对你的特定攻击,而是工具扫描攻击的结果。
下载一个UrlScan,配置好应该就能防住。
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 发信人: lglabc (会飞的熊猫), 信区: Virus
: 标 题: 网站被sql注入,该怎么办?
: 发信站: 水木社区 (Fri Aug 28 10:39:02 2009), 站内
: ...................
--
FROM 123.103.8.*
你传参的时候把敏感字过滤一下啊
然后把空格replace一下
还注入个毛啊
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 发信人: lglabc (会飞的熊猫), 信区: Virus
: 标 题: 网站被sql注入,该怎么办?
: 发信站: 水木社区 (Fri Aug 28 10:39:02 2009), 站内
: ...................
--
FROM 124.207.141.*
程序调用sql时候用的store procedure和@paramter么?
【 在 lglabc (会飞的熊猫) 的大作中提到: 】
: 发信人: lglabc (会飞的熊猫), 信区: Virus
: 标 题: 网站被sql注入,该怎么办?
: 发信站: 水木社区 (Fri Aug 28 10:39:02 2009), 站内
: ...................
--
FROM 208.71.237.*