AI 助理
备案控制台
开发者社区 安全 文章 正文

防范SQL注入的几种方法 4

2017-11-15 1049
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:


sql = "SELECT ID T_ID, NAME FROM Category where ID="&ID&" ORDER BY xh asc" 


rs.open sql,conn,1,1 

 ,我自己常用的数据过滤脚本,专利,

id=replace(id,”’”,””) 

If len( request(“id”))>8 then ‘  为什么取长度上面程序中已经说明 

response.write "<script language=""java script"">" 

response.write "parent.alert(' 老大,你说吧,你想干什么?..');" 

response.write "history.back();" 

response.write "</script>" 

response.end 

else 

If request(“id”)<>”” then ‘ 取不为空则是为了防止一些程序页中会出现空值情况,如果不在这里做判断,程序会校验出错

If IsNumeric(request("id"))=False then '  风清扬修改 ID数据监控程式 

response.write "<script language=""java script"">" 

response.write "parent.alert(' 错误的数据编号类型\\n\\n请返回校验');" 

response.write "history.back();" 

response.write "</script>" 

response.end 

end if 

end if 

end if 


 程序体(8) 

由于我个人的编程习惯,我喜欢将所有的数据检验程序全部保留到整站的公用程序中,比如:conn.asp,只需要写一次就可以修复全站的问题.

说到这里,我提一点关于攻击的问题,就是跑用户密码或者是用户名,一般常用的就是

….../show.asp?id=1 and 0<>(select count(*) from admin where id=3 and left(username,1)=’a’)

 这样去一个一个尝试,当然我们不能在这里提什么Perl程序去跑密码,程序是别人写,要自己知道原理.这里我只是想给个比较方便的办法就是取ASC码范围.这个要比单独跑要快很多.不论是是字母,数字,汉字,特殊字符,他们总会有对应的ASC,用以下办法:

….../show.asp?id=1 and 0<>(select count(*) from admin where id=3 and asc(right(left(username 

e,3),1)) between 1 and 10000)  剩下的就随你了,一般的从97122就可以啦,字母嘛,很快D.呵呵,有人想用mid 函数当然也是不错 asc(mid(username,2,1)) between 1 and 10000 也成.

如何更加有效的防止SQL注入攻击?我们将在下面的文章中具体提到!

防范远程注入攻击

这类攻击在以前应该是比较常见的攻击方式,比如POST攻击,攻击者可以随便的改变要提交的数据值已达到攻击目的.又如:COOKIES 的伪造,这一点更值得引起程序编写者或站长的注意,不要使用COOKIES来做为用户验证的方式,否则你和把钥匙留给贼是同一个道理.

比如:

If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") 

=”fqy#e3i5.com” then 

……..more……… 

End if 

 我想各位站长或者是喜好写程序的朋友千万别出这类错误,真的是不可饶恕.伪造COOKIES 都多少年了,你还用这样的就不能怪别人跑你的密码.涉及到用户密码或者是用户登陆时,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一个信息,SessionID,它的随机值是64位的,要猜解它,不可能.:

if not (rs.BOF or rs.eof) then 

login="true" 

Session("username"&sessionID) = Username 

Session("password"& sessionID) = Password 

‘Response.cookies(“username”)= Username 

‘Response.cookies(“Password”)= Password 














本文转自loveme2351CTO博客,原文链接: http://blog.51cto.com/loveme23/8410,如需转载请自行联系原作者



文章标签:
SQL
监控
Perl
机器学习/深度学习
数据安全/隐私保护
安全
关键词:
SQL方法
SQL注入
SQL防范
防范SQL注入方法
技术小甜
目录
相关文章
蓝易云
|
27天前
|
SQL 数据采集 关系型数据库
实现MySQL与SQL Server之间数据迁移的有效方法
总的来说,从MySQL到SQL Server的数据迁移是一个涉及到很多步骤的过程,可能会遇到各种问题和挑战。但只要精心规划、仔细执行,这个任务是完全可以完成的。
蓝易云
91 18
蓝易云
|
1月前
|
SQL Java 数据库连接
Java中实现SQL分页的方法
无论何种情况,选择适合自己的,理解了背后的工作原理,并能根据实际需求灵活变通的方式才是最重要的。
蓝易云
64 9
蓝易云
|
2月前
|
SQL 关系型数据库 MySQL
【MySQL】SQL分析的几种方法
以上就是SQL分析的几种方法。需要注意的是,这些方法并不是孤立的,而是相互关联的。在实际的SQL分析中,我们通常需要结合使用这些方法,才能找出最佳的优化策略。同时,SQL分析也需要对数据库管理系统,数据,业务需求有深入的理解,这需要时间和经验的积累。
蓝易云
92 12
青云交(Java大数据AI云计算Python)
|
2月前
|
SQL 关系型数据库 MySQL
大数据新视界--大数据大厂之MySQL数据库课程设计:MySQL 数据库 SQL 语句调优方法详解(2-1)
本文深入介绍 MySQL 数据库 SQL 语句调优方法。涵盖分析查询执行计划,如使用 EXPLAIN 命令及理解关键指标;优化查询语句结构,包括避免子查询、减少函数使用、合理用索引列及避免 “OR”。还介绍了索引类型知识,如 B 树索引、哈希索引等。结合与 MySQL 数据库课程设计相关文章,强调 SQL 语句调优重要性。为提升数据库性能提供实用方法,适合数据库管理员和开发人员。
青云交(Java大数据AI云计算Python)
166 11
蓝易云
|
3月前
|
SQL 数据库连接 Linux
数据库编程:在PHP环境下使用SQL Server的方法。
看看你吧,就像一个调皮的小丑鱼在一片广阔的数据库海洋中游弋,一路上吞下大小数据如同海中的珍珠。不管有多少难关,只要记住这个流程,剩下的就只是探索未知的乐趣,沉浸在这个充满挑战的数据库海洋中。
蓝易云
93 16
CamilleKing
|
7月前
|
SQL 监控 安全
Flask 框架防止 SQL 注入攻击的方法
通过综合运用以上多种措施,Flask 框架可以有效地降低 SQL 注入攻击的风险,保障应用的安全稳定运行。同时,持续的安全评估和改进也是确保应用长期安全的重要环节。
CamilleKing
316 71
龙大吉
|
7月前
|
SQL 安全 PHP
PHP开发中防止SQL注入的方法,包括使用参数化查询、对用户输入进行过滤和验证、使用安全的框架和库等,旨在帮助开发者有效应对SQL注入这一常见安全威胁,保障应用安全
本文深入探讨了PHP开发中防止SQL注入的方法,包括使用参数化查询、对用户输入进行过滤和验证、使用安全的框架和库等,旨在帮助开发者有效应对SQL注入这一常见安全威胁,保障应用安全。
龙大吉
233 4
蓝易云
|
7月前
|
SQL 安全 前端开发
Web学习_SQL注入_联合查询注入
联合查询注入是一种强大的SQL注入攻击方式,攻击者可以通过 `UNION`语句合并多个查询的结果,从而获取敏感信息。防御SQL注入需要多层次的措施,包括使用预处理语句和参数化查询、输入验证和过滤、最小权限原则、隐藏错误信息以及使用Web应用防火墙。通过这些措施,可以有效地提高Web应用程序的安全性,防止SQL注入攻击。
蓝易云
210 2
sunrr
|
7月前
|
SQL BI 数据库
SQL操作的一些基本方法
【10月更文挑战第27天】SQL操作的一些基本方法
sunrr
106 3
sunrr
|
7月前
|
SQL 监控 固态存储
SQL优化有哪些方法?
【10月更文挑战第27天】SQL优化有哪些方法?
sunrr
146 3

热门文章

最新文章

  • 1
    什么!我把SQL编辑器装进了大模型?
  • 2
    菜鸟之路Day35一一Mybatis之XML映射与动态SQL
  • 3
    实现MySQL与SQL Server之间数据迁移的有效方法
  • 4
    MySQL数据库——图形化界面工具(DataGrip),SQL(2)-DML(插入、修改和删除数据)
  • 5
    掌握MyBatis动态SQL:从标签到实战的全面解析
  • 6
    分桶排序算法在SQL中应用
  • 7
    ps/sql developer 登录远程服务器
  • 8
    如何理解T-SQL中Merge语句(二)
  • 9
    v$sql_shared_cursor中的BIND_MISMATCH
  • 10
    SQL Server 2005 MD5函数
  • 1
    什么!我把SQL编辑器装进了大模型?
    432
  • 2
    实现MySQL与SQL Server之间数据迁移的有效方法
    91
  • 3
    菜鸟之路Day35一一Mybatis之XML映射与动态SQL
    116
  • 4
    SQL Server 2025 - 从本地到云端的 AI 就绪企业数据库
    101
  • 5
    狂揽20.2k星!还在傻傻的写SQL吗,那你就完了!这款开源项目,让数据分析像聊天一样简单?再见吧SQL
    113
  • 6
    【SQL周周练】:利用行车轨迹分析犯罪分子作案地点
    65
  • 7
    SQL在线美化工具
    175
  • 8
    Dataphin V5.0:支持创建异步调用API,实现慢 SQL 复杂计算的直连消费
    107
  • 9
    凌晨2点报警群炸了:一条sql 执行200秒!搞定之后,我总结了一个慢SQL查询、定位分析解决的完整套路
    116
  • 10
    SQL的解析和优化的原理:一条sql 执行过程是什么?
    57

    • 相关课程

    更多
  • 如何在 PolarDB-X 中优化慢 SQL
  • SQL完全自学手册
  • SQL Server on Linux入门教程
  • SQL入门与实践
  • 数据库及SQL/MySQL基础
  • SQL进阶及查询

    • 相关电子书

    更多
  • SQL Server在电子商务中的应用与实践
  • GeoMesa on Spark SQL
  • 原生SQL on Hadoop引擎- Apache HAWQ 2.x最新技术解密malili

    • 相关实验场景

    更多
  • PolarDB for AI:在数据库中通过SQL实现AI能力
  • 玩转MaxCompute SQL! 30分钟搞定数据分析挖掘
  • 使用SQL语句实现数据表管理
  • 使用SQL语句实现数据插入、修改和删除操作
  • 使用SQL语句实现数据查询操作
  • 使用SQL语句管理索引
    • 下一篇
    手把手教你白嫖阿里云服务器(免费领服务器)