防止网站sql数据库注入及解决办法(参考)
发布时间:2025-03-25 点击:15
问题描述:经测试发现,该网站存在查询页面,未对输入数据进行过滤,导致产生sql注入。
受影响的
受影响参数:k
验证过程:
请求数据包
post/slist.cshtmlhttp/1.1
content-length:82
content-type:application/x-www-form-urlencoded
x-requested-with:xmlhttprequest
cookie:asp.net_sessionid=wtc4hdfmkdwqratoipuz21ec;verifycod
风险程度:【严重】
风险分析:利用该sql注入漏洞,恶意攻击者可以获取数据库内的所有数据,并且可能获取数据库所承载的操作系统更多信息,对系统威胁非常严重。
sql注入的解决方法
sql注入的主要原因是程序没有严格过滤用户输入的数据,导致非法数据侵入系统。
1)对用户输入的特殊字符进行严格过滤,如’、”、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union。
2)使用参数化查询(preparedstatement),避免将未经过滤的输入直接拼接到sql查询语句中。
3)web应用中用于连接数据库的用户与数据库的系统管理员用户的权限有严格的区分(如不能执行drop等),并设置web应用中用于连接数据库的用户不允许操作其他数据库。
4)设置web应用中用于连接数据库的用户对web目录不允许有写权限。使用web应用防火墙。
任何人零基础都能自学EO技术吗
网络营销的优势都有哪些?
锦州网站建设费用明细
什么是物理服务器租用?物理服务器的优点及适用范围
网站推广应该怎样做
优质内容与高质量外链是提高网站权重的决定性
为什么企业网站建设要先设计方案呢
网站建设过程中容易出现的问题分析
受影响的
受影响参数:k
验证过程:
请求数据包
post/slist.cshtmlhttp/1.1
content-length:82
content-type:application/x-www-form-urlencoded
x-requested-with:xmlhttprequest
cookie:asp.net_sessionid=wtc4hdfmkdwqratoipuz21ec;verifycod
风险程度:【严重】
风险分析:利用该sql注入漏洞,恶意攻击者可以获取数据库内的所有数据,并且可能获取数据库所承载的操作系统更多信息,对系统威胁非常严重。
sql注入的解决方法
sql注入的主要原因是程序没有严格过滤用户输入的数据,导致非法数据侵入系统。
1)对用户输入的特殊字符进行严格过滤,如’、”、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union。
2)使用参数化查询(preparedstatement),避免将未经过滤的输入直接拼接到sql查询语句中。
3)web应用中用于连接数据库的用户与数据库的系统管理员用户的权限有严格的区分(如不能执行drop等),并设置web应用中用于连接数据库的用户不允许操作其他数据库。
4)设置web应用中用于连接数据库的用户对web目录不允许有写权限。使用web应用防火墙。
任何人零基础都能自学EO技术吗
网络营销的优势都有哪些?
锦州网站建设费用明细
什么是物理服务器租用?物理服务器的优点及适用范围
网站推广应该怎样做
优质内容与高质量外链是提高网站权重的决定性
为什么企业网站建设要先设计方案呢
网站建设过程中容易出现的问题分析
下一篇:如何做好差异化营销