关于BS架构系统,防止SQL注入攻击的思路

windindance 2009-10-14 07:10:52
加精
BS系统中,传统的注入攻击手段有很多。
最基本的,利用单引号攻击的,很容易解决,用类似于QuotedStr()(实际开发是其他语言,这里用DELPHI中的函数代替)的函数处理参数即可。
但实际应用中,不可避免会有一些应用需要直接传递参数,例如表名、查询条件、排序条件等等
对这些应用的注入攻击防不胜防。
我考虑了一个思路,供大家参考。

1 对所有网页传入的参数分三种。
a) 数字类型,用StrToInt函数处理。
b) 字符串类型,用QuotedStr函数处理。
c) 需要直接传递的参数,这是需要着重考虑的类型。

2 对所有数据库操作主要分五种,不允许程序直接执行SQL语句:
a) select 查询
b) update 更新
c) insert 新增
d) delete 删除
e) exec 执行存储过程

3 对于以上几种数据库操作的所有参数,例如select 操作中的 查询条件、排序条件等,都进行合法性校验:
a) 里面存在 "--" "/*" "*/" 的,都视为非法条件。
b) 将条件拆分为单词,如果存在以下单词:delete insert update exec execute create drop grant的,都视为非法条件。(正常的表名、字段名中不可能有上面这些关键字吧。)
c) 传入的查询条件,校验里面的括号,凡是右括号在左括号前面(不配对)的,都视为非法条件。
d) 传入的查询条件,前后加括号。

经过以上校验,应该基本可以保证参数是正常的参数,供大家参考。同时也希望大家能找出其中的漏洞,我可以进行改进^_^
...全文
5079 164 打赏 收藏 转发到动态 举报
写回复
用AI写文章
164 条回复
切换为时间正序
请发表友善的回复…
发表回复
goto2020 2011-10-19
  • 打赏
  • 举报
回复
學習一下
txzsp 2010-11-08
  • 打赏
  • 举报
回复
PreparedStatement是java的delphi就得自己干了。
六六木木 2010-08-25
  • 打赏
  • 举报
回复
学习技术!!
xiaodao080320 2009-12-19
  • 打赏
  • 举报
回复
不错
修改一下昵称 2009-10-22
  • 打赏
  • 举报
回复
好贴,顶一下
随风落梦 2009-10-22
  • 打赏
  • 举报
回复
的确,可以这样防止,学习了
syuekj 2009-10-22
  • 打赏
  • 举报
回复
辛苦了
xiaowei_001 2009-10-22
  • 打赏
  • 举报
回复
mark
有时间看
junyi2003 2009-10-22
  • 打赏
  • 举报
回复
关键是入口和出口预防。

中间层防致命性(崩溃性)错误。
yct0605 2009-10-21
  • 打赏
  • 举报
回复
UP,学习了。
W9757 2009-10-21
  • 打赏
  • 举报
回复
学习!
jack_ailly 2009-10-21
  • 打赏
  • 举报
回复
up
Summue 2009-10-20
  • 打赏
  • 举报
回复
谢谢,LZ!
悲剧的人参 2009-10-20
  • 打赏
  • 举报
回复
学习下
chcn00 2009-10-20
  • 打赏
  • 举报
回复
真好!学习,学习!
wxhysoftsodc 2009-10-20
  • 打赏
  • 举报
回复
关注 收藏
hujiang123000 2009-10-20
  • 打赏
  • 举报
回复
强啊
binggirl 2009-10-20
  • 打赏
  • 举报
回复
看的不是很懂
sunjiakai 2009-10-20
  • 打赏
  • 举报
回复
基本上可以避免。
zhxc87 2009-10-20
  • 打赏
  • 举报
回复
学习……
加载更多回复(140)
内容概要:本文针对无刷直流电机驱动的电子机械制动(EMB)执行器,建立了考虑Stribeck摩擦特性的非线性耦合动力学模型,并在Simulink环境中完成了系统级仿真分析。研究综合集成了电机动力学、齿轮传动机构与制动执行机构的动力学特性,构建了高保真的机电一体化系统模型。重点引入Stribeck摩擦模型以精确描述低速工况下执行器内部存在的静摩擦、粘滞摩擦与库仑摩擦之间的过渡行为,有效提升了系统在启停、反向运动等瞬态过程中的动态响应仿真精度。通过多工况仿真验证了模型的有效性,能够准确反映摩擦引起的爬行、滞后与定位误差等非线性现象,为EMB系统的高性能控制算法设计(如摩擦补偿、滑模控制)与结构优化提供了高可信度的仿真平台。; 适合人群:从事汽车电子制动系统、电机驱动控制、机电系统建模与仿真研究的研究生、科研人员及工程技术人员,需具备扎实的机械动力学、自动控制理论基础和MATLAB/Simulink仿真能力。; 使用场景及目标:①用于高精度电子机械制动系统的设计验证与性能预测;②为消除摩擦非线性影响的先进控制策略(如自适应控制、智能控制)提供精确的被控对象模型;③深入探究Stribeck摩擦等非线性因素对系统动态性能(如响应延迟、稳态误差)的作用机理; 阅读建议:读者应结合提供的Simulink模型文件,深入剖析Stribeck摩擦模块的数学实现与参数辨识方法,建议通过改变输入指令(如阶跃、正弦)和负载条件进行对比仿真,以直观理解非线性摩擦对系统动态特性的影响。

2,508

社区成员

发帖
与我相关
我的任务
社区描述
Delphi 数据库相关
社区管理员
  • 数据库相关社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧