网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了？？

hzesen1222 2010-07-16 11:56:15

我现在做一个留言的功能。得用放post的注入。网上那防注入程序用了。连and都不能出现了。。
再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。不知道各位如何解决这个问题的？
难道不防注入？或者难道真的把and等常用单词与符号都屏蔽了？

...全文

134 11 打赏收藏举报

写回复

11 条回复

切换为时间正序

当前发帖距今超过3年，不再开放新的回复

发表回复

kaifadi 2010-08-06

打赏
举报

详细点，推荐只过滤单引号！因为那个在SQL中非法!其他什么都无所未。根本执行不了。

天下如山 2010-08-05

打赏
举报

因为 and可以用为手动注入的你看看这
http://www.sec520.com/Article/2009/200909/4383.html

wcwtitxu 2010-08-05

打赏
举报

[Quote=引用 2 楼 mocom 的回复:]
这叫以讹传讹，以错传错，Internet的功能就是传播正确和错误的观点，最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员，然后这些WEB程序员又坚持该观点去误导更多的程序员

这里有个防止注入的参考方法，可以看看，在此之前可以先看看SQL注入原理是什么，有助于理解为何要用那种方法来防止注入

http://topic.csdn.net/u/20100703/……
[/Quote]

俺也认为过滤屏蔽关键字本身就是一个错误的防注入方法.

巫妖天下 2010-08-05

打赏
举报

把'换成`就ok啦，其他都不用鸟。

ak14647117 2010-08-05

打赏
举报

有点夸张

xzx99 2010-08-05

打赏
举报

学习学习

mocom 2010-07-16

打赏
举报

这叫以讹传讹，以错传错，Internet的功能就是传播正确和错误的观点，最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员，然后这些WEB程序员又坚持该观点去误导更多的程序员

这里有个防止注入的参考方法，可以看看，在此之前可以先看看SQL注入原理是什么，有助于理解为何要用那种方法来防止注入

http://topic.csdn.net/u/20100703/13/5ebc49c6-9cc7-44d0-ac69-2d8f5c193ba7.html

基本思路是将客户端数据分成两种格式
1、数字
2、字符串
然后根据不同数据类型对数据做不同处理，数字型数据强行转换为数字，文本型数据则根据数据库不同，替换注入点为合法SQL字符，有人说php比asp安全大概因为php中有个变量开关：set_magic_quotes_runtime，它的功能就是转换GET和POST的数据中不符合SQL语法规则的字符串为合法SQL字符串变量，并且一般情况下，这个开关是开着的，它起始于3.0.6版本，在此之前，它对客户端数据处理方法与ASP是一样的按原始数据获取，而在此之后，它就把'"替换为\'\"了，mysql中对字符串变量中的'是转义的，而ASP没有这样的开关，只有老老实实自己处理每个客户端变量，对于字符串变量，将'替换为''就可以了