[向sp1234老大及各位达人提问]关于网站安全的疑惑（我真是菜鸟）

hanyucq123 2009-04-17 02:56:58

在网上找了很多网站安全类的文章来看，各说各家话，把我搞混了，不知怎么信了。比如，有说用存储过程，就不会被注入，因为存储过程会把注入非法命令当成字串来处理,所以就不用进行关键字过滤了，但最近在MSDN上看到一遍文章，说用存储过程如果不过滤或进行其他处理一样会被注入。（地址是：http://msdn.microsoft.com/zh-cn/library/ms161953(SQL.90).aspx）。以前也在CSDN上问过好几次这种问题，当都是各说各的，因为我基础比较差，所以向请教一下sp1234老大哥及各种没被注入过的达人，请问你们平时都是怎样做安全的？网站的代码安全，除了被注入之外，还会有其他因为代码引起的安全问题吗？
希望能给详细说说

...全文

150 17 打赏收藏转发到动态举报

写回复

17 条回复

切换为时间正序

请发表友善的回复…

发表回复

pzlin 2009-04-25

打赏
举报

回复

强贴留名

hanyucq123 2009-04-18

打赏
举报

回复

再顶

mb_1985 2009-04-17

打赏
举报

回复

[Quote=引用 7 楼 wuyq11 的回复:]
物理路径泄露
目录遍历
缓冲区溢出
CGI漏洞
[/Quote]
学习，老大能不能提供资料以供学习？3Q

hanyucq123 2009-04-17

打赏
举报

回复

顶起不要沉

JUST_DO_IT----adiaos 2009-04-17

打赏
举报

回复

多用参数少用或不用拼接字串,如:

执行
select * from user where uid=@uid and pwd=@pwd

参数
SqlParameter[] parms ={
new SqlParameter("@uid",SqlDbType.VarChar,50),
new SqlParameter("@pwd",SqlDbType.VarChar,50)};

parms[0].Value = jadier;
parms[1].Value = guess;

传入SqlCommand
cmd.Parameters=parms;

cmd.ExecuteScalar();

除了这个SQL注入问题,还有脚本注入问题(Server.HtmlEncode编码可解决)

注意上传文件类型判断(如嘿客上传.asp挂马文件)

注意网站目录写入权限(如非上传文件夹和非数据库文件夹可不开写入权限)

注意上传文件夹的脚本执行权限(如果上传的全是图片可关闭脚本执行权限)

其它不知道的望各位继续

hanyucq123 2009-04-17

打赏
举报

回复

看来好多人都没大弄明白，高手呀，在哪哟

陌上花花 2009-04-17

打赏
举报

回复

帮顶学习

wujinjian2008n 2009-04-17

打赏
举报

回复

学习

luoyinshuang 2009-04-17

打赏
举报

回复

我也来学习，这东西一直没弄清楚.

walkghost 2009-04-17

打赏
举报

回复

我是来mark学习的。

wuyq11 2009-04-17

打赏
举报

回复

物理路径泄露
目录遍历
缓冲区溢出
CGI漏洞

feifeiyiwen 2009-04-17

打赏
举报

回复

up

gang027 2009-04-17

打赏
举报

回复

[Quote=引用 2 楼 jcgh1985 的回复:]
如果存储过程里用的SQL 拼接也一样有危险
少用SQL拼接实在要拼接那只能过滤了
[/Quote]

up

编程有钱人了 2009-04-17

打赏
举报

回复

哎

hanyucq123 2009-04-17

打赏
举报

回复

自己顶

白s菜 2009-04-17

打赏
举报

回复

如果存储过程里用的SQL 拼接也一样有危险
少用SQL拼接实在要拼接那只能过滤了

dl_wang 2009-04-17

打赏
举报

回复

关注

等级保护制度已经被列入《关于加强信息安全保障工作的意见》之中,如何对信息系统实行分等级保护一直是社会各方关注的热点。美国，作为一直走在信息安全研究前列的大国之一，近几年来在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并根据有关的技术标准、指南，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式，并形成了体系化的标准和指南性文件。NIST SP 800-53

SP技术没有一个界面；你可以通过使用Web浏览器或者兼容程序如Office 应用程序，包括SPD。你可以选择适合你必须完成的任务的接口。然而，根据你选择的程序，你可能有SP网站的不同视图。如果你使用MS Word，你只看到了网站和内容的一小部分。如果你使用浏览器，你看到支持SP协同本质的列表和库，以及它们的内容。当你使用SPD时----此产品理解最多SP基础----你可以看到...

目录1.sp3485驱动器2.sp3485接收器3.SP3481的关断模式4.sp3485推荐电路5.sp3485sp3485 通信自动收发电路 SP3481和SP3485是一系列+3.3V低功耗半双工收发器，它们完全满足RS-485和RS-422串行协议的要求。这两个器件与Sipex的SP481、SP483和SP485的管脚互相兼容，同时兼容工业标准规范。SP3481和SP3485符合RS-485和RS-422串行协议的电气规范，数据传输速率可高达10Mbps（带负载）。SP3481还包含低功耗关断模式。

sp1、sp2、sp3的意思分别为：第一版补丁包、第二版补丁包、第三版补丁包。 SP的英文全称是service pack ，也就是windows操作系统的补丁包。SP3是windows xp的第三个补丁包和sp2一样，sp3是一个补丁升级包，XP SP3的最大任务是汇总sp2发布之后到现在分散发布的各个更新补丁。XP SP3里一共有1073个新的Patch、Hotfix补丁，其中第一个是20...

1.1. 用户登陆SP网站点播业务流程说明：1) 用户在SP网站以手机号注册社区用户，SP向用户下发密码通知短信。（用户在网上注册和点播走一样的流程，都通过点播确认码确认用户身份，否则密码通知MT消息会被鉴权中心拦截，从而短信不能下发到用户手机上。）2) 用户用注册密码以SP社区用户登陆SP网站。3) 用户在SP网站点播业务。4) SP网站调用SPMS提供的WEB点播调用接

62,268

社区成员

668,981

社区内容

发帖

与我相关

我的任务

javascript云原生企业社区

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见，支持健康理性的辩论和互动，反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章