MyException - 我的异常网
当前位置:我的异常网» Java Web开发 » 怎么防止网站注入攻击

怎么防止网站注入攻击(3)

www.MyException.Cn  网友分享于:2015-08-27  浏览:254次

这个是好文章啊,标记一下
------解决方案--------------------
实际上,只要是注入攻击,都会带一个;号,解决这个,差不多就解决了AQL注入的问题。

js脚本注入……那啥,这个不是问题,更好解决吧?

主要是怕一些其他的漏洞
------解决方案--------------------
好贴,学习了
------解决方案--------------------
学习
------解决方案--------------------
顶一个收了
------解决方案--------------------
学习学习一下
------解决方案--------------------
JF...
------解决方案--------------------
有没更简单的?
------解决方案--------------------
SQL注入是什么,说白了就是执行了用户提交的SQL命令或逻辑,所以首先不让用户能提交这样的字符、让用户提交的命令或逻辑不再是命令~谁还能注入~~

1、使用存储过程 
2、过滤字符 
3、服务端加密 
4、加密URL字符串 
5、全站静化 
------------------ 
最简单实用的办法:不使用数据库、关机,整个世界都安静了~~~
------解决方案--------------------
mark
------解决方案--------------------
说的异常处理这些都是程序员必备的
------解决方案--------------------
mark
------解决方案--------------------
以前还真没在意,以后还得留心呀!
------解决方案--------------------
网站传参数劲量过滤后使用
------解决方案--------------------
我也很关注这个 问题呀 ,还是先 参考&***学习吧 ……
------解决方案--------------------
原来方法如此之多啊
------解决方案--------------------
用参数
------解决方案--------------------
防SQL注入,用SqlParameter不就行了吗?
------解决方案--------------------
楼上的都是高手啊,学习一下
------解决方案--------------------
收~
------解决方案--------------------
学习了,收藏之
------解决方案--------------------
好东西啊。。
学习学习。。
------解决方案--------------------
防SQL注入
------解决方案--------------------
防御SQL注入有妙法 

第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员账号及密码就会被分析出来。 

第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。 

第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是防止注入的账号,为什么这么说呢?笔者想,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。 

1.对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。 

2.对表进行修改。设置管理员权限的账号放在ID1,并输入大量中文字符(最好大于100个字)。 

3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。 

我们通过上面的三步完成了对数据库的修改。 

这时是不是修改结束了呢?其实不然,要明白你做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。我想这时大多数人已经想到了办法,对,只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。
------解决方案--------------------

文章评论

软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有