sql注入漏洞如何修复
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sql注入漏洞如何修复相关的知识,希望对你有一定的参考价值。
要防止sql注入其实不难,你知道原理就可以了。1、所有的sql注入都是从用户的输入开始的。如果你对所有用户输入进行了判定和过滤,就可以防止sql注入了。用户输入有好几种,我就说说常见的吧。
2、文本框、地址栏里***.asp?中?号后面的id=1之类的、单选框等等。一般sql注入都用地址栏里的。。。。
3、对于所有从上一页传递过来的参数,包括request.form
、request.qurrystring等等进行过滤和修改。如最常的***.asp?id=123
,我们的id只是用来对应从select
里的id,而这id一般对应的是一个数据项的唯一值,而且是数字型的。这样,我们只需把id的值进行判定,就可以了。 参考技术A 我理解的SQL注入是这么一回事。比如你做一个登录的功能,你后台的SQL拼接
是
WHERE
USER_NAME
=
'XX'
AND
PASSWORD
=
'XX'
如果用户想办法将
USER_NAME
的值穿过去是
'
OR
1=1
OR
''
=
这个的话
(包括引号)
那么你的查询条件将失效
将会查出全部的用户。
这种注入
能防范的方法太多了。
比如查出来之后
你可以用PASSWORD和用户输入的PASSWORD对比一下
看是否一致
不一致
说明是入侵。本回答被提问者采纳
以上是关于sql注入漏洞如何修复的主要内容,如果未能解决你的问题,请参考以下文章
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段