社区
ASP
帖子详情
网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了??
hzesen1222
2010-07-16 11:56:15
我现在做一个留言的功能。 得用放post的注入。 网上那防注入程序用了。 连and都不能出现了。。
再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的?
难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
...全文
165
11
打赏
收藏
网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了??
我现在做一个留言的功能。 得用放post的注入。 网上那防注入程序用了。 连and都不能出现了。。 再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的? 难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
11 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
kaifadi
2010-08-06
打赏
举报
回复
详细点,推荐只过滤单引号!因为那个在SQL中非法!其他什么都无所未。根本执行不了。
天下如山
2010-08-05
打赏
举报
回复
因为 and可以用为手动注入的 你看看这
http://www.sec520.com/Article/2009/200909/4383.html
wcwtitxu
2010-08-05
打赏
举报
回复
[Quote=引用 2 楼 mocom 的回复:]
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/……
[/Quote]
俺也认为 过滤屏蔽关键字 本身就是一个错误的防注入方法.
巫妖天下
2010-08-05
打赏
举报
回复
把'换成`就ok啦,其他都不用鸟。
ak14647117
2010-08-05
打赏
举报
回复
有点夸张
xzx99
2010-08-05
打赏
举报
回复
学习学习
mocom
2010-07-16
打赏
举报
回复
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/13/5ebc49c6-9cc7-44d0-ac69-2d8f5c193ba7.html
基本思路是将客户端数据分成两种格式
1、数字
2、字符串
然后根据不同数据类型对数据做不同处理,数字型数据强行转换为数字,文本型数据则根据数据库不同,替换注入点为合法SQL字符,有人说php比asp安全大概因为php中有个变量开关:set_magic_quotes_runtime,它的功能就是转换GET和POST的数据中不符合SQL语法规则的字符串为合法SQL字符串变量,并且一般情况下,这个开关是开着的,它起始于3.0.6版本,在此之前,它对客户端数据处理方法与ASP是一样的按原始数据获取,而在此之后,它就把'"替换为\'\"了,mysql中对字符串变量中的'是转义的,而ASP没有这样的开关,只有老老实实自己处理每个客户端变量,对于字符串变量,将'替换为''就可以了
yeyuxuan2006
2010-07-16
打赏
举报
回复
网上那段不可取的。替换掉引号,使用RS更新记录,使用储存过程
2321zhf
2010-07-16
打赏
举报
回复
单引号过滤一下就OK了
chengjinhui01
2010-07-16
打赏
举报
回复
passwors=rs("password"),',',',,'
KK3K2005
2010-07-16
打赏
举报
回复
在保存时吧所有空格代换成特殊的字符串
读取的时候在转换下
C# 检查字符串,
防
SQL
注入
攻击
看到CSDN上好多关于
防
SQL
注入
的贴子,整理了一下 C#
防
SQL
注入
: http://topic.csdn.net/u/20080510/16/29c515de-c4d2-41fe-a1dc-df84de18f9b7.html ... /// ///
扔掉工具 跟我一起学
注入
!
比较出名的有小竹的NBSI、教主的HDSI和啊D的
注入
工具等等!这大大方便的小菜们掌握
注入
漏洞!可是,工具是死的,
注入
的手法却是活的,能否根据实际情况灵活地构造SQL
注入
语句,得到自己想要的信息,是[被屏...
编程
常用
英文
单词
addition 加法 action 行动 arithmetic 算法adjustment 调整 actual 真实的 argument 参量ascent 提升 already 已经 AWT(Abstract Window Toolkit)抽象窗口工具 API(Application Programming Interface)应用
程序
接口...
ASP
28,409
社区成员
356,971
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章