SQL注入求指点

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入求指点相关的知识,希望对你有一定的参考价值。

参考技术A 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。

SQL注入大致方法:

1、猜表名And
(Select
count(*)
from
表名)<>0,猜列名And
(Select
count(列名)
from
表名)<>0,获得数据库连接用户名:and
user>0

2、后台身份验证绕过漏洞,'or'='or'后台绕过漏洞,利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误。

防止SQL注入:

  1.对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。

  2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

  3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

  4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。

  5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装

  6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。

以上是关于SQL注入求指点的主要内容,如果未能解决你的问题,请参考以下文章

求ASP防SQL注入的登录验证代码

SQL注入与XSS跨站脚本的基本原理

你真的会SQL注入攻击吗?

求ASP防注入的办法

SQL注入分类有哪些,一看你就明白了。SQL注入点/SQL注入类型/SQL注入有几种/SQL注入点分类

sql注入漏洞都有哪些