防止網站sql數據庫注入及解決辦法(參考)

2019-09-18    分類: 網站建設

問題描述:經測試發現,該網站存在查詢頁面,未對輸入數據進行過濾,導致產生sql注入。

受影響的

受影響參數:k

驗證過程:

請求數據包

POST /slist.cshtml HTTP/1.1

Content-Length: 82

Content-Type: application/x-www-form-urlencoded

X-Requested-With: XMLHttpRequest

Cookie:ASP.NET_SessionId=wtc4hdfmkdwqratoipuz21ec;VerifyCod

風險程度:【嚴重】

風險分析:利用該SQL注入漏洞,惡意攻擊者可以獲取數據庫內的所有數據,并且可能獲取數據庫所承載的操作系統更多信息,對系統威脅非常嚴重。


sql注入的解決方法

SQL注入的主要原因是程序沒有嚴格過濾用戶輸入的數據,導致非法數據侵入系統。

1) 對用戶輸入的特殊字符進行嚴格過濾,如’、”、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union。

2) 使用參數化查詢(PreparedStatement),避免將未經過濾的輸入直接拼接到SQL查詢語句中。

3) Web應用中用于連接數據庫的用戶與數據庫的系統管理員用戶的權限有嚴格的區分(如不能執行drop等),并設置Web應用中用于連接數據庫的用戶不允許操作其他數據庫。

4) 設置Web應用中用于連接數據庫的用戶對Web目錄不允許有寫權限。使用Web應用防火墻。

標題名稱:防止網站sql數據庫注入及解決辦法(參考)
標題網址:http://m.kartarina.com/news38/80488.html

成都網站建設公司_創新互聯,為您提供定制開發、微信公眾號網站內鏈、ChatGPT、自適應網站虛擬主機

廣告

聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯

微信小程序開發
主站蜘蛛池模板: 亚洲人成人无码.www石榴| 久久久91人妻无码精品蜜桃HD| 爆乳无码AV一区二区三区| 内射人妻无套中出无码| 亚洲中文字幕无码爆乳AV| 日韩人妻精品无码一区二区三区| 亚洲天然素人无码专区| 在线看片无码永久免费aⅴ| 亚洲Av永久无码精品三区在线| 色视频综合无码一区二区三区| 中字无码av电影在线观看网站| 日韩AV无码久久一区二区| 亚洲AV无码一区二区二三区软件| 西西444www无码大胆| MM1313亚洲精品无码久久| 无码中文字幕av免费放dvd| 中文无码成人免费视频在线观看| 国产a v无码专区亚洲av| 久久久久久无码Av成人影院| 亚洲AV无码一区二三区| 中文无码久久精品| 无码人妻一区二区三区免费视频| 久久人妻少妇嫩草AV无码专区| 免费无码又爽又刺激高潮软件 | 麻豆亚洲AV成人无码久久精品| 国产精品无码一区二区三级| 四虎成人精品无码永久在线| 蜜臀亚洲AV无码精品国产午夜. | 国产精品无码无需播放器| 小泽玛丽无码视频一区| 日韩AV无码精品一二三区| 中文字幕人成无码人妻综合社区| 熟妇人妻无码中文字幕| 亚洲VA中文字幕无码一二三区| 亚洲自偷自偷偷色无码中文 | 国产午夜无码片在线观看影院| 亚洲av中文无码字幕色不卡 | 亚洲av无码片区一区二区三区| 无码粉嫩小泬无套在线观看| 久久午夜伦鲁片免费无码| 亚洲AV无码成人专区|