2.8w+
社区成员
- 全部
跪求求防止恶意提交的方法,本人现维护一小网站遭人恶意攻击,寻求解决指点,在线等。
小人现有网站http://www.szwbxjz.com,其中设有一个“明星小记者”的栏目,主要的想法是通过网友不记名投票选出前十位选手,但近几天总有不正常的投票数据波动,怀疑是有人恶意提交了或者是网站受到了攻击,希望专家们给予指点,不胜感激!
下面是提交投票页面的源码:
<!--#include file="conn.asp" -->
<!--#include file="../function.asp" -->
<!--#include file="../admin/function/select_field.asp" -->
<%
ID=trim(request.QueryString("ID"))
if trim(request.Cookies("iP")(ID))=ID then
Response.Write "<Script Language=JavaScript>alert('你已经投了他一票了,请不要重复投票!');history.back(-1)</Script>"
Response.end
end if
if isnumeric(ID) then
set rs=server.CreateObject("adodb.recordset")
sql="select top 1 * from [Vote] where ID="&id
rs.open sql,conn,3,3
if not rs.eof then
vote_num=rs("vote_num")
rs("vote_num")=vote_num+1
rs.update
end if
rs.close
set rs=nothing
'conn.execute("update [Vote] set vote_num=vote_num+1 where ID="&ID)
response.Cookies("IP")(ID)=ID
response.cookies("IP").expires=date()+1
end if
%>
<script language="javascript">
alert("投票成功,谢谢您的参与");
window.location.href='xjzx.asp';
</script>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>无标题文档</title>
</head>
<body>
</body>
</html>
下面是提交投票页面的源码:
<!--#include file="conn.asp" -->
<!--#include file="../function.asp" -->
<!--#include file="../admin/function/select_field.asp" -->
<%
ID=trim(request.QueryString("ID"))
if trim(request.Cookies("iP")(ID))=ID then
Response.Write "<Script Language=JavaScript>alert('你已经投了他一票了,请不要重复投票!');history.back(-1)</Script>"
Response.end
end if
if isnumeric(ID) then
set rs=server.CreateObject("adodb.recordset")
sql="select top 1 * from [Vote] where ID="&id
rs.open sql,conn,3,3
if not rs.eof then
vote_num=rs("vote_num")
rs("vote_num")=vote_num+1
rs.update
end if
rs.close
set rs=nothing
'conn.execute("update [Vote] set vote_num=vote_num+1 where ID="&ID)
response.Cookies("IP")(ID)=ID
response.cookies("IP").expires=date()+1
end if
%>
<script language="javascript">
alert("投票成功,谢谢您的参与");
window.location.href='xjzx.asp';
</script>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>无标题文档</title>
</head>
<body>
</body>
</html>
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
momoco4 2008-03-28
加个判断萨
你下面加个文本框
完了你写个问题
例:a b后面是什么?
2*6=?
这样他只有手工输入c或12
用ASP判断
才能投。。。
你小站,想也不会有人专门针对站点写个投票的机器
如果有。。。
每天换一个问题。。。
另外可能你网站有漏洞
被人为改的。。。
网上下个 网站猎手之类的SQL注入工具
扫描下你站点
你下面加个文本框
完了你写个问题
例:a b后面是什么?
2*6=?
这样他只有手工输入c或12
用ASP判断
才能投。。。
你小站,想也不会有人专门针对站点写个投票的机器
如果有。。。
每天换一个问题。。。
另外可能你网站有漏洞
被人为改的。。。
网上下个 网站猎手之类的SQL注入工具
扫描下你站点
gingerkang 2008-03-28
用cookie验证是否投票,意义不大,他删除或禁止cookie可以继续投票
没有注入的话,减少票数就不理解了
没有注入的话,减少票数就不理解了
FeeLiN7 2008-03-28
大哥,最起码你也得把单引号过滤了吧~~~
ID=trim(replace(request.QueryString("ID"),"'",""))
当然这还远远不够,这方面资料很多,你可以查查
ID=trim(replace(request.QueryString("ID"),"'",""))
当然这还远远不够,这方面资料很多,你可以查查
wjp16351 2008-03-28
你的网址是多少,我免费帮你检查一下漏洞
Atai-Lu 2008-03-28
模拟cookie刷投票更容易,但是这样很容易被发现
Atai-Lu 2008-03-28
你可以弄个验证码嘛,虽然验证码不一定保险,不过大半刷投票的都会卡在这关的
Atai-Lu 2008-03-28
呵呵,你这种代码,人家只要有一个流量还可以的网站,然后再嵌入一段代码就可以刷投票了。。。
俺朋友就干过这种事,有人让他帮刷投票,然后他在自己网站上嵌入一段js代码,
别人访问他的网站的时候在不知不觉中就进行了投票。。。
俺朋友就干过这种事,有人让他帮刷投票,然后他在自己网站上嵌入一段js代码,
别人访问他的网站的时候在不知不觉中就进行了投票。。。
飞天神笔 2008-03-28
还有,你通过Cookies来判断是否能投第二票,这也是一处败笔
会写程序的人,用HttpWebRequest方法时不传Cookies值,你就无法判断出是否已经投过票,这样的程序能1秒投上几十至几万票(视你的网络速度而定)。
建议你在网页搜点图片式验证码程序,这样程序就无法自动通过验证了。
-----------------------------------------------------------
爱找房(http://www.izfang.com)
我的个人网站,免费的房屋租赁网站,大家要多多捧场哦。
会写程序的人,用HttpWebRequest方法时不传Cookies值,你就无法判断出是否已经投过票,这样的程序能1秒投上几十至几万票(视你的网络速度而定)。
建议你在网页搜点图片式验证码程序,这样程序就无法自动通过验证了。
-----------------------------------------------------------
爱找房(http://www.izfang.com)
我的个人网站,免费的房屋租赁网站,大家要多多捧场哦。
飞天神笔 2008-03-28
你的网站在在SQL注入漏洞,网上去搜“SQL注入”,能找出很多方法。
SQL注入在在的原因,主要是你对传过来的“ID”值没有进行过滤,应该过滤掉“单引号”、“分号”、“exec”等特殊字符。不然傻子看看网上的文章就能把你黑了。
SQL注入在在的原因,主要是你对传过来的“ID”值没有进行过滤,应该过滤掉“单引号”、“分号”、“exec”等特殊字符。不然傻子看看网上的文章就能把你黑了。
tomlee007 2008-03-27
那位高手能不能帮我检测一下,看看漏洞出在哪里,有劳指点了。
一把编程的菜刀 2008-03-27
估计你的站被入侵了!
tomlee007 2008-03-27
不是广告!就是其中有一人的数据从2000多一下串到了1万多票,并且也有减少票数的。
xxgu 2008-03-27
投票人的ip要记入数据库
每次投票insert之前先去数据库判断这个ip是不是存在
每次投票insert之前先去数据库判断这个ip是不是存在
wlhcy 2008-03-27
把提交上了的参数过滤一下在往数据库写
xiaojing7 2008-03-27
ad?
依靠自我 依靠自我 我们需要爱默生式的思想家 ... 当所有的编译工作都完成之后,我突然发现自己在编译过程中经常出现的“为什么要编译爱默生的文章”的疑问都变得多余了,也就是说,我突然认为:在中国重提爱默生是...
5.20爬虫结——Mu 3856347,手机触摸屏被劫持跳转其它网站,3112842 3856562,终于知道DZ官网为什么没落了,3112900 3856535,主题自带的二级导航怎么修改啊,2578089 3856505,以前有农场这些插件能安装,现在没了吗?,1515035 3856513,请问...
discuz_result 命名 discuz_result ...3852724,最新版墨镜风格模板发布了,有需要的朋友可以进来看看,2759280 3856589,官方手机模板在哪安装,3140684 3856347,手机触摸屏被劫持跳转其它网站,3112842 ...3856513,请问这个网站
108个真实的灵异故事!!(转载) 我表爷爷(我爷爷的表哥)有一个双胞胎的兄弟,自小就失散了。但我表爷爷却一直坚信他的弟弟还活在这个世上,因为他说他能感觉到。 时光一天天过去,表爷爷也渐渐老了,他一直都很惦记这个自小失散的弟弟。2002...
《山水白衣》(原创武侠) <!-- @page { margin: 0.79in } P { margin-bottom: 0.08in } ... 【卷一凤鸣高岗】(写得不好之处,诚求意见,谢谢) 古戍连山火,新城殷地笳。九舟犹虎豹,四海未桑麻。 天迥云垂草,江空雪覆沙。野梅烧不尽,时
世界上最伟大的推销员 第一章 海菲在铜镜前徘徊,打量着自己。 “只有眼睛还和年轻时一样。”他一边自言自语着,一边转过身慢慢地在敞亮的大理石地板上走着。他拖着年迈的步伐在黑色的玛瑙柱子之间穿行,走过几张雕刻着象牙花饰的桌子。 ...
活出全新的自己…… 活出全新的自己 作者:张德芬 作者序 分享我灵性成长的体悟 二00七年五月,方智出版社发行了我的第... 至目前为止,《遇见未知的自己》在海峡两岸卖出了三十多万本,让很多人跌破眼镜。我也收到无数读
水流花开——杨宁 二、打开心量,解决家庭矛盾 三、正确对待性生活 四、怎样选择饮食 五、突然改变饮食习惯时需注意的问题 六、怎样选择明师 七、正确看待一位明师你才能最终受益 八、不要排斥否定任何一个法门,法门平等 九、...
mengxiang2003 (哈哈) 请进 ”“大牛快来帮忙”“在线等待”“为什么没有人回答我的问题”“急急急”“救命啊”“跪求” “求助”“求救”“高人指点”“高手指教”“大侠帮忙”“帮帮忙吧”“我很急”“新手求教”“菜鸟求教”“第一次发贴...
英语四六级词根词缀大全 第一部分 通过词缀认识单词 (常用前缀一) 1、a- ① 加在单词或词根前面,表示"不。无。非" acentric 无中心的(a+centric中心的) asocial 不好社交的(a+social好社交的) amoral 非道德性的(a+moral道德的;...
C语言嵌入式Linux编程第3期:程序的编译、链接和运行 本课程为《C语言嵌入式Linux编程》第3期,主要对程序的编译、链接及运行机制进行分析。同时对静态库链接、动态链接的过程、插件原理、内核模块运行机进行探讨,后对嵌入式系统比较难理解的u-boot重定位、u-boot加载内核、内核解压缩、重定位过程进行分析,加深对程序的编译链接原理的理解。 掌握程序的编译、链接、运行基本原理。掌握u-boot引导内核启动、u-boot的重定位等嵌入式核心技术。
QT/C++从新手到老手系列之QT基础篇 本系列课程励志于带领你学习QT5/C++,从开发环境(QTCreator和VS2013两种)搭建到实际项目实战,从入门到精通。每一个部分均有理论知识介绍、接口讲解、实例代码讲解,讲解过程中不断穿插老师在开发过程中遇到的问题及解决方法。本阶段主要学习Qt开发环境搭建(QTCreator及VS)、程序的发布、GUI控件的属性、方法、布局管理、容器类、QT事件处理等,学完本阶段后可以开发小型的应用程序。 本阶段主要完成Qt开发环境搭建、程序的开发和发布、基于Widget的图形控件属性和方法的使用、布局管理、容器类、QT事件处理等几个方面知识的学习,通过上述几个方面知识的学习,可以开发一个小型的应用程序。
高速串行serdes接口.zip JEDEC标准,JESD204C协议,还有ESIstream协议,JESD204B协议,有的我是下载的有的是买的,也是为了以后下载东西方便一点,希望各位谅解,本人研究高速串行接口,FPGA,希望能相互交流
vue-devtools chrome 插件 chrome(谷歌浏览器)vue代码调试插件, 已打包。解压后,通过chrome扩展程序加载即可使用。
使用方法:
1、chrome浏览器输入地址“chrome://extensions/”进入扩展程序页面
2、勾选开发者模式
3、点击“加载已解压的扩展程序...”按钮,选择解压后的chrome文件夹,即可添加成功。
4、添加完vue-devtools扩展程序之后,我们在调试vue应用的时候,ch
rome开发者工具中会看一个vue的一栏,点击之后就可以看见当前页面vue对象的一些信息
linux网络内核书合集06 本合集是本人搜集的关于linux网络内核的书籍,都是经典,包含:(1)Linux网络体系结构:Linux内核中网络协议的设计与实现.chm (2)Linux网络内核分析与开发.pdf (3)嵌入式Linux网络体系结构设计与TCP/IP协议栈.pdf (4)深入理解LINUX网络技术内幕.pdf 第一本是英文版chm格式,其余三本均为中文版,扫描清晰
QT实战之监控回看系统 本课程基本Qt for windows平台下开发的监控回看界面程序,通过选择界面上的时间和日期可以准确定位观看过去的某一年某一日某个时刻的监控画面,支持对接第三方海康设备的功能,同时也能对于学习QT有很大的帮助。 学会对接第三方设备,学会QT开发,学会界面布局,学会界面设计。
IBM Tivoli Storage Manager 白皮书 IBM Tivoli Storage Manager 白皮书,详细介绍了关于IBM Tivoli Storage Manager的基础。Tivoli Storage Manager 简称TSM,是IBM Tivoli软件家族中的旗舰产品之一
