社区
ASP
帖子详情
网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了??
hzesen1222
2010-07-16 11:56:15
我现在做一个留言的功能。 得用放post的注入。 网上那防注入程序用了。 连and都不能出现了。。
再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的?
难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
...全文
167
11
打赏
收藏
网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了??
我现在做一个留言的功能。 得用放post的注入。 网上那防注入程序用了。 连and都不能出现了。。 再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的? 难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
11 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
kaifadi
2010-08-06
打赏
举报
回复
详细点,推荐只过滤单引号!因为那个在SQL中非法!其他什么都无所未。根本执行不了。
天下如山
2010-08-05
打赏
举报
回复
因为 and可以用为手动注入的 你看看这
http://www.sec520.com/Article/2009/200909/4383.html
wcwtitxu
2010-08-05
打赏
举报
回复
[Quote=引用 2 楼 mocom 的回复:]
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/……
[/Quote]
俺也认为 过滤屏蔽关键字 本身就是一个错误的防注入方法.
巫妖天下
2010-08-05
打赏
举报
回复
把'换成`就ok啦,其他都不用鸟。
ak14647117
2010-08-05
打赏
举报
回复
有点夸张
xzx99
2010-08-05
打赏
举报
回复
学习学习
mocom
2010-07-16
打赏
举报
回复
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/13/5ebc49c6-9cc7-44d0-ac69-2d8f5c193ba7.html
基本思路是将客户端数据分成两种格式
1、数字
2、字符串
然后根据不同数据类型对数据做不同处理,数字型数据强行转换为数字,文本型数据则根据数据库不同,替换注入点为合法SQL字符,有人说php比asp安全大概因为php中有个变量开关:set_magic_quotes_runtime,它的功能就是转换GET和POST的数据中不符合SQL语法规则的字符串为合法SQL字符串变量,并且一般情况下,这个开关是开着的,它起始于3.0.6版本,在此之前,它对客户端数据处理方法与ASP是一样的按原始数据获取,而在此之后,它就把'"替换为\'\"了,mysql中对字符串变量中的'是转义的,而ASP没有这样的开关,只有老老实实自己处理每个客户端变量,对于字符串变量,将'替换为''就可以了
yeyuxuan2006
2010-07-16
打赏
举报
回复
网上那段不可取的。替换掉引号,使用RS更新记录,使用储存过程
2321zhf
2010-07-16
打赏
举报
回复
单引号过滤一下就OK了
chengjinhui01
2010-07-16
打赏
举报
回复
passwors=rs("password"),',',',,'
KK3K2005
2010-07-16
打赏
举报
回复
在保存时吧所有空格代换成特殊的字符串
读取的时候在转换下
使用SpringAOP拦截关键字,
防
止sql
注入
使用SpringAOP拦截关键字,
防
止sql
注入
前言一、SqlFilter是什么?二、使用步骤1.在web.xml中配置2.编写过滤方法总结 前言 SQL
注入
即是指web应用
程序
对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用
程序
中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 一、SqlFilter是什么? sqlFilter主要是用来
防
止sql
注入
,在数据做
防
sql
注入
C# 检查字符串,
防
SQL
注入
攻击
看到CSDN上好多关于
防
SQL
注入
的贴子,整理了一下 C#
防
SQL
注入
: http://topic.csdn.net/u/20080510/16/29c515de-c4d2-41fe-a1dc-df84de18f9b7.html http://hi.baidu.com/blueyund/blog/item/1545d1a2829b74aacaefd00d.html /// ///
扔掉工具 跟我一起学
注入
!
现在的网络,脚本入侵十分的流行,而脚本
注入
漏洞更是风靡黑客界。不管是老鸟还是新起步的小菜,都会为它那巨大的威力和灵活多变的招式所着迷! 正是因为
注入
攻击的流行,使的市面上的
注入
工具层出不穷!比较出名的有小竹的NBSI、教主的HDSI和啊D的
注入
工具等等!这大大方便的小菜们掌握
注入
漏洞!可是,工具是死的,
注入
的手法却是活的,能否根据实际情况灵活地构造SQL
注入
语句,得到自己想要的信息,是[被屏...
ASP
28,409
社区成员
356,971
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章