28,391
社区成员
发帖
与我相关
我的任务
分享浅析SQL注入
SQL注入是什么,我就不用说了,如果你真的不知道你可以去网上搜一下。
防止注入概括起来其实就是
1 类型检查 (检查得到的数据类型是不是符合要求的类型)
2 变量范围检查 (得到的变量的长度都是有个范围的,检查是否符合)
3 特殊字符过滤 (主要就是过滤 , " % 空格等特殊字符)
4 sql关键字过滤 (主要是exec|insert|select|delete|update| truncate |drop|master|SysColumns|SysMembers|sysusers等字符)
发贴的主要目的是讨论一下,得到一个行之有效的防止SQL注入的方法。
由于本人没有玩黑的经验,所以只是停留在理论之上,对于很多的方法还是报质疑的态度。
请有经验,有想法的人来谈谈你们的看法,分不是问题。
防止注入概括起来其实就是
1 类型检查 (检查得到的数据类型是不是符合要求的类型)
2 变量范围检查 (得到的变量的长度都是有个范围的,检查是否符合)
3 特殊字符过滤 (主要就是过滤 , " % 空格等特殊字符)
4 sql关键字过滤 (主要是exec|insert|select|delete|update| truncate |drop|master|SysColumns|SysMembers|sysusers等字符)
发贴的主要目的是讨论一下,得到一个行之有效的防止SQL注入的方法。
由于本人没有玩黑的经验,所以只是停留在理论之上,对于很多的方法还是报质疑的态度。
请有经验,有想法的人来谈谈你们的看法,分不是问题。
...全文
请发表友善的回复…
发表回复
长笛党希望 2012-10-27
- 打赏
- 举报
参数化查询
bus360 2012-05-10
- 打赏
- 举报
超越alibaba的创业想法,寻技术合伙人,要求有野心,有耐心,有能力,在北京的全职技术合伙人.13910440192 侯
bus360 2012-05-10
- 打赏
- 举报
超越alibaba的创业想法,寻技术合伙人,要求有野心,有耐心,有能力,在北京的全职技术合伙人.13910440192 侯
无声的告别 2012-05-05
- 打赏
- 举报
ASP现在太乏力了。
小獭 2012-05-01
- 打赏
- 举报
问题彻底解决了没有啊.看了这么多回复,还是不知道怎么解决这个问题.....痛苦中.....
ke5315309 2011-12-19
- 打赏
- 举报
mark
Leo2048 2011-12-02
- 打赏
- 举报
顶一个,大家都说得差不多了。
a395159103 2011-11-30
- 打赏
- 举报
mark一下,最近要用到
蝜蝂 2011-11-02
- 打赏
- 举报
mark 一下,等一会看。
ppxxyy123 2011-09-26
- 打赏
- 举报
有空来看看
yekang10 2011-08-17
- 打赏
- 举报
留个脚印 让后人知道我,我来过
mylostway 2011-08-05
- 打赏
- 举报
好帖,支持一下别让它沉了。 个人的观点是replace可行啊,将update替换成[update],然后展示的时候再解译成update就行了啊? 麻烦一些大牛提出一些反例啊。
yekang10 2011-07-22
- 打赏
- 举报
路过....
zoeShang 2011-06-09
- 打赏
- 举报
好贴!
lk100135779 2011-06-03
- 打赏
- 举报
设置好表名和数据库权限 应该就没问题吧
lk100135779 2011-06-03
- 打赏
- 举报
精彩啊
iq2008234 2011-05-10
- 打赏
- 举报
dddddddddddddddddddddd
cut1111 2011-05-09
- 打赏
- 举报
恩学习了
去圣西罗-为尤文喝彩 2011-05-06
- 打赏
- 举报
看了大家的讨论,受益匪浅,原来以为只要过滤掉一下字符就可以,现在看来还是有问题。82,83,88楼就可以反过来利用滤掉,让不合理的语句转换成合理语句。同样可以侵占数据库。
关注此贴,继续学习。
关注此贴,继续学习。
mavlan137 2011-04-10
- 打赏
- 举报
d d sd
加载更多回复(108)
