62,046
社区成员
发帖
与我相关
我的任务
分享注入过滤的问题
看过一些绕过过滤的文章,有的写到:
运用编码技术绕过
如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
虽然url能识别上面的语句,但是传输到Web服务器上就会还原成原来的样子吧。以上的这种绕过技术怎么可能行的通呢?
能不能说一下一般的过滤程序的工作流程是怎样的?(是不是将地址栏内的内容传到web服务器,web服务器过滤,然后数据库服务器再执行sql语句?)
IIS、URL、SQL语句分别能支持什么样的编码呢??
运用编码技术绕过
如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
虽然url能识别上面的语句,但是传输到Web服务器上就会还原成原来的样子吧。以上的这种绕过技术怎么可能行的通呢?
能不能说一下一般的过滤程序的工作流程是怎样的?(是不是将地址栏内的内容传到web服务器,web服务器过滤,然后数据库服务器再执行sql语句?)
IIS、URL、SQL语句分别能支持什么样的编码呢??
...全文
请发表友善的回复…
发表回复
rangeon 2008-02-15
- 打赏
- 举报
严重关注
wuyi8808 2008-02-15
- 打赏
- 举报
不拼接SQL语句,改用SQL参数,就可以避免SQL注入。
belldandy11 2008-02-15
- 打赏
- 举报
学习
kbryant 2008-02-15
- 打赏
- 举报
学习来了
LutzMark 2008-02-15
- 打赏
- 举报
对于B/S应用程序感觉常用的那些服务器端过滤方法就够用了
没考虑过编码绕过的问题
没考虑过编码绕过的问题
whoo529 2008-02-15
- 打赏
- 举报
Request.QueryString 中要过滤字符,严格要求传值的字符类型来接什么值,sql就用存储过程就行,表传sql语句拼接的
lovehongyun 2008-02-15
- 打赏
- 举报
你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服务器端对所有的用户输入进行校验.使用基于客户端的验证可以减少页面的住返次数,改进性能,改善用户体验,但是不要仅仅依赖于此,因为客户端的验证很容易就可以被黑客骗过去.
xierfly 2008-02-15
- 打赏
- 举报
平时个人会用到 标签屏蔽、存储过程、传递参数、加密参数等这些个方法。很专业的没搞过。
com286 2008-02-15
- 打赏
- 举报
谢谢各位的回答。
但是,我只是想问红字的问题,不是问如何过滤注入。
但是,我只是想问红字的问题,不是问如何过滤注入。
