1樓:網友
我這裡是asp的,你放在中。
每個檔案都包含就可以防止一部份的注入。
防跨站的**我就不提供了。
sub f_sql()
dim q_post,q_get,q_in,q_inf,iq_in = and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare" '定義不能通過的字元,q_in = exec|insert|select|delete|update|*|chr|truncate|declare|'"
q_inf = split(q_in ,if <>then
for each q_post in
for i = 0 to ubound(q_inf)if instr(lcase( q_inf(i)) 0 then"請不要在引數中包含非法字元嘗試注入")
end if
next next
end if
if <>then
for each q_get in
for i = 0 to ubound(q_inf)if instr(lcase( q_inf(i)) 0 then"請不要在引數中包含非法字元嘗試注入")
end if
next next
end if
end sub
f_sql() 這裡是呼叫上面的做過濾。
2樓:天嬌雪
最好不使用%的查詢, 好像有些不支援吧,
什麼是sql注入,如何防止sql注入?
3樓:莫路草根
所謂sql注入,就是通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。具體來說,它是利用現有應用程式,將(惡意)的sql命令注入到後臺資料庫引擎執行的能力,它可以通過在web表單中輸入(惡意)sql語句得到乙個存在安全漏洞的**上的資料庫,而不是按照設計者意圖去執行sql語句。比如先前的很多影視**洩露vip會員密碼大多就是通過web表單遞交查詢字元暴出的,這類表單特別容易受到sql注入式攻擊.
防護歸納一下,主要有以下幾點:
1.永遠不要信任使用者的輸入。對使用者的輸入進行校驗,可以通過正規表示式,或限制長度;對單引號和。
雙"-"進行轉換等。
2.永遠不要使用動態拼裝sql,可以使用引數化的sql或者直接使用儲存過程進行資料查詢存取。
3.永遠不要使用管理員許可權的資料庫連線,為每個應用使用單獨的許可權有限的資料庫連線。
4.不要把機密資訊直接存放,加密或者hash掉密碼和敏感的資訊。
5.應用的異常資訊應該給出儘可能少的提示,最好使用自定義的錯誤資訊對原始錯誤資訊進行包裝。
注入的檢測方法一般採取輔助軟體或**平臺來檢測,軟體一般採用sql注入檢測工具jsky,**平臺就有億思**安全平臺檢測工具。mdcsoft scan等。採用mdcsoft-ips可以有效的防禦sql注入,xss攻擊等。
4樓:山西新華電腦學校
sql注入:利用現有應用程式,將(惡意)的sql命令注入到後臺資料庫引擎執行的能力,這是sql注入的標準釋義。
關於page load 與sql注入的解決方案
net放sql注入的話沒必要自己寫防注入的函式,而且你也不能保證你寫的函式考慮周全,什麼形式的都能防住。在。net中防注入的方法就是在寫sql語句的時候使用引數化語句。就比如說,原先的語句為 select from product where productname textbox1.text 你要...
關於sql基礎問題
create table user id int,name varchar 20 增加資料 insert into user values 1,a insert into user values 2,b insert into user values 3,c 刪除資料 delete from use...
php中防止SQL注入的最好方法是什麼
沒有最好的方法,只有根據專案作相應處理,比如,最常用的傳過來的數字型的值,做乙個是否數字的判斷 cid is numeric get cid get cid 1 php中防止sql注入的最好方法是什麼?php如何防止sql注入 額,這是我老師給的答案 答 過濾一些常見的資料庫操作關鍵字,select...