2.8w+
社区成员
- 主页
网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了??
我现在做一个留言的功能。 得用放post的注入。 网上那防注入程序用了。 连and都不能出现了。。
再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的?
难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的?
难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
...全文
请发表友善的回复…
发表回复
kaifadi 2010-08-06
详细点,推荐只过滤单引号!因为那个在SQL中非法!其他什么都无所未。根本执行不了。
天下如山 2010-08-05
因为 and可以用为手动注入的 你看看这
http://www.sec520.com/Article/2009/200909/4383.html
http://www.sec520.com/Article/2009/200909/4383.html
wcwtitxu 2010-08-05
[Quote=引用 2 楼 mocom 的回复:]
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/……
[/Quote]
俺也认为 过滤屏蔽关键字 本身就是一个错误的防注入方法.
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/……
[/Quote]
俺也认为 过滤屏蔽关键字 本身就是一个错误的防注入方法.
巫妖天下 2010-08-05
把'换成`就ok啦,其他都不用鸟。
ak14647117 2010-08-05
有点夸张
xzx99 2010-08-05
学习学习
mocom 2010-07-16
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/13/5ebc49c6-9cc7-44d0-ac69-2d8f5c193ba7.html
基本思路是将客户端数据分成两种格式
1、数字
2、字符串
然后根据不同数据类型对数据做不同处理,数字型数据强行转换为数字,文本型数据则根据数据库不同,替换注入点为合法SQL字符,有人说php比asp安全大概因为php中有个变量开关:set_magic_quotes_runtime,它的功能就是转换GET和POST的数据中不符合SQL语法规则的字符串为合法SQL字符串变量,并且一般情况下,这个开关是开着的,它起始于3.0.6版本,在此之前,它对客户端数据处理方法与ASP是一样的按原始数据获取,而在此之后,它就把'"替换为\'\"了,mysql中对字符串变量中的'是转义的,而ASP没有这样的开关,只有老老实实自己处理每个客户端变量,对于字符串变量,将'替换为''就可以了
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/13/5ebc49c6-9cc7-44d0-ac69-2d8f5c193ba7.html
基本思路是将客户端数据分成两种格式
1、数字
2、字符串
然后根据不同数据类型对数据做不同处理,数字型数据强行转换为数字,文本型数据则根据数据库不同,替换注入点为合法SQL字符,有人说php比asp安全大概因为php中有个变量开关:set_magic_quotes_runtime,它的功能就是转换GET和POST的数据中不符合SQL语法规则的字符串为合法SQL字符串变量,并且一般情况下,这个开关是开着的,它起始于3.0.6版本,在此之前,它对客户端数据处理方法与ASP是一样的按原始数据获取,而在此之后,它就把'"替换为\'\"了,mysql中对字符串变量中的'是转义的,而ASP没有这样的开关,只有老老实实自己处理每个客户端变量,对于字符串变量,将'替换为''就可以了
yeyuxuan2006 2010-07-16
网上那段不可取的。替换掉引号,使用RS更新记录,使用储存过程
2321zhf 2010-07-16
单引号过滤一下就OK了
chengjinhui01 2010-07-16
passwors=rs("password"),',',',,'
KK3K2005 2010-07-16
在保存时吧所有空格代换成特殊的字符串
读取的时候在转换下
读取的时候在转换下