防止網站sql數據庫注入及解決辦法(參考)
2019-09-18 分類: 網站建設
問題描述:經測試發(fā)現,該網站存在查詢頁面,未對輸入數據進行過濾,導致產生sql注入。
受影響的
受影響參數:k
驗證過程:
請求數據包 |
POST /slist.cshtml HTTP/1.1 Content-Length: 82 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Cookie:ASP.NET_SessionId=wtc4hdfmkdwqratoipuz21ec;VerifyCod |
風險程度:【嚴重】
風險分析:利用該SQL注入漏洞,惡意攻擊者可以獲取數據庫內的所有數據,并且可能獲取數據庫所承載的操作系統(tǒng)更多信息,對系統(tǒng)威脅非常嚴重。
sql注入的解決方法
SQL注入的主要原因是程序沒有嚴格過濾用戶輸入的數據,導致非法數據侵入系統(tǒng)。
1) 對用戶輸入的特殊字符進行嚴格過濾,如’、”、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union。
2) 使用參數化查詢(PreparedStatement),避免將未經過濾的輸入直接拼接到SQL查詢語句中。
3) Web應用中用于連接數據庫的用戶與數據庫的系統(tǒng)管理員用戶的權限有嚴格的區(qū)分(如不能執(zhí)行drop等),并設置Web應用中用于連接數據庫的用戶不允許操作其他數據庫。
4) 設置Web應用中用于連接數據庫的用戶對Web目錄不允許有寫權限。使用Web應用防火墻。
標題名稱:防止網站sql數據庫注入及解決辦法(參考)
標題網址:http://m.2m8n56k.cn/news38/80488.html
成都網站建設公司_創(chuàng)新互聯,為您提供定制開發(fā)、微信公眾號、網站內鏈、ChatGPT、自適應網站、虛擬主機
聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:[email protected]。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯
猜你還喜歡下面的內容
- 設計網站如何區(qū)分導航的組織方式? 2019-09-17
- 手機端里的數據表的表現方式! 2019-09-16
- .政務 域名在哪注冊? 2019-09-15
- 運營SEO博客。 2019-09-15
- 響應式導航插件下載 2019-09-15
- 360度解答百度移動索引量工具問題! 2019-09-14
- 花瓣的「推廣采集」首次商業(yè)化嘗試 2019-09-18
- 喜訊!我司作品,人教教學資源網榮獲“出版業(yè)優(yōu)秀內容資源平臺”殊榮! 2019-09-17
- 如何確定網頁的寬度? 2019-09-17
- 一個復雜的房地產網站開發(fā)需求! 2019-09-16
- “.政務”域名介紹 2019-09-15
- 石墨表格公測版正式上線了 2019-09-15
- 策劃網站需要注意哪些問題? 2019-09-14
- ASP.NET開發(fā)網站的特點! 2019-09-14
- 百度聯盟網頁插屏新增樣式華麗來襲。 2019-09-13
- 分享17個自媒體 2019-09-13
- 模板網站的利弊對比! 2019-09-13
- 百度搜索結果右側的圖標模塊怎么修改? 2019-09-13
- 搜狐快站管理App優(yōu)化更新 2019-09-13