注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

业精于专,成于广

slow down & keep thinking

 
 
 

日志

 
 

ASP安全漏洞及防护方法(四)  

2006-08-05 21:26:37|  分类: 完全CS |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
SQL注入漏洞

  所谓SQL注入(SQL Injection),是指试图强迫应用程序执行它不准备运行的SQL代码的行为。通俗地说,就是指攻击者通过在地址栏或表单中提交精心构造的SQL语句,根据返回的结果来获得其想要的Web程序、服务器和数据库的信息,从而达到入侵Web服务器的目的。当ASP应用程序没有对接收的数据进行严格过滤时,就可能存在SQL注入的漏洞。示例如下:
http://127.0.0.1/shop/user/bookDetail.asp?id=34 and 1=1
http://127.0.0.1/shop/user/bookDetail.asp?id=34 and (select count(*) from t_AdminInfo)>0
  若提交第一句后返回正常页面,说明没有过滤接收数据,即存在SQL注入漏洞。若提交第二句后也返回正常页面,说明数据库中存在名为t_AdminInfo的表。用这样的方法可完成对数据库表名、字段名、字段内容等信息的猜解,甚至可调用SQL Server的扩展存储过程对系统进行恶意操作。
  该漏洞危害很大,解决方法却很简单,只需对从地址栏或表单接收的数据进行严格过滤,在将SQL语句传递给数据库执行前去掉select等危险字符。另外合理设置数据库操作权限也是必要的。

(待续,节选自我的毕业设计论文,请勿转载!)
PS:今天凌晨Blog系统升级后终于稳定下来了,但愿不要再出问题了。
  评论这张
 
阅读(15)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018