62,268
社区成员
发帖
与我相关
我的任务
分享|zyciis| 网站数据被注入了
1:
我看了服务器的页面是没有被改动的
也就是说服务器页面是没有被注入的
2:
但为什么数据库被注入了呢,而且不是几个记录,而是好多表好多记录
为什么
3:
如何防卡这样的注入呢
我是想写一个方法过滤掉用户输入(select update delete script)这些关键字
但是我一个很大的网站以前都没有这样做,
如果去给每一个输入都添加这个方法的话很不现实
那应该如何写一个基类去过滤用户输入呢
谢谢
我看了服务器的页面是没有被改动的
也就是说服务器页面是没有被注入的
2:
但为什么数据库被注入了呢,而且不是几个记录,而是好多表好多记录
为什么
3:
如何防卡这样的注入呢
我是想写一个方法过滤掉用户输入(select update delete script)这些关键字
但是我一个很大的网站以前都没有这样做,
如果去给每一个输入都添加这个方法的话很不现实
那应该如何写一个基类去过滤用户输入呢
谢谢
...全文
请发表友善的回复…
发表回复
以专业开发人员为伍 2008-12-26
- 打赏
- 举报
出于无奈,你可以使用存储过程一次性地将相应表中的所有数据中的“<、>”替换为中文大写符号。
mengxj85 2008-12-26
- 打赏
- 举报
处理掉"<",">"和对应的编码应该可以避免
以专业开发人员为伍 2008-12-26
- 打赏
- 举报
如果你的服务器上一个网站竟然可以访问到网站以外的磁盘文件,而且数据库也是可以访问到别人的,还可以直接在SQL Server里调用dos,或者很容易就可以注册一个com 的 dll来运行,那么赶紧把网站删除吧。这种服务器安全性实在太低。
以专业开发人员为伍 2008-12-26
- 打赏
- 举报
1. 例如我们会在一些代码中看到
而实际上,这个代码其实应该写为:
同样地,我们使用的Label控件通常也有这个问题。我们在网上或者入门书上看到的“范例”都不是严谨的编程,并没有去认真考虑字符串是否应该原样显示还是解析为html的问题,反正“怎么简单怎么写”而已。
2. 录入部分是可以逐步加上录入规则验证的,例如录入电话号码的地方。没有加上的逐步加上。
3. asp.net实际上是禁止随便上传html的。看看你是不是滥用了将页面设置 ValidateRequest="false" 的语句。
4. 最有可能是你的做服务器的机器已经被人劫持了,那时候不是你的网站造成的漏洞,而是整个服务器(由于没有对网站给出严格的权限而)已经被攻陷了。
<%= 后台声明的字符串变量 %>而实际上,这个代码其实应该写为:
<%= Server.HtmlEncode(后台声明的字符串变量) %>同样地,我们使用的Label控件通常也有这个问题。我们在网上或者入门书上看到的“范例”都不是严谨的编程,并没有去认真考虑字符串是否应该原样显示还是解析为html的问题,反正“怎么简单怎么写”而已。
2. 录入部分是可以逐步加上录入规则验证的,例如录入电话号码的地方。没有加上的逐步加上。
3. asp.net实际上是禁止随便上传html的。看看你是不是滥用了将页面设置 ValidateRequest="false" 的语句。
4. 最有可能是你的做服务器的机器已经被人劫持了,那时候不是你的网站造成的漏洞,而是整个服务器(由于没有对网站给出严格的权限而)已经被攻陷了。
catvv 2008-12-26
- 打赏
- 举报
http://topic.csdn.net/u/20081226/18/211a822d-ce60-4343-b0f6-666a7370dc6e.html
