您現在的位置是:電腦技術吧?>? 故障問題 ??>??防注入攻擊,注入攻擊??>??正文詳情

防注入攻擊,注入攻擊

梁景行2019-12-04 13:22:16 人圍觀
簡介注入式攻擊要防止asp.net應用程序被SQL注入攻擊入侵并不是一件特別困難的事情,只要在使用表單輸入內容構造SQL命令之前過濾所有輸入內容。過濾輸入可以通過多種方式完成數據庫注入

要防止ASP.NET應用被SQL注入式攻擊闖入并不是一件特別困難的事情,只要在利用表單輸入的內容構造SQL命令之前,把所有輸入內容過濾一番就可以了。

過濾輸入內容可以按多種方式進行。

  ⑴ 對于動態構造SQL查詢的場合,可以使用下面的技術:  第一:替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。

再來看前面的例子,SELECT * from Users WHERE login = or 1=1 AND password = or 1=1顯然會得到與SELECT * from Users WHERE login = or 1=1 AND password = or 1=1不同的結果。

  第二:刪除用戶輸入內容中的所有連字符,防止攻擊者構造出類如SELECT * from Users WHERE login = mas AND password =之類的查詢,因為這類查詢的后半部分已經被注釋掉,不再有效,攻擊者只要知道一個合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪問權限。

  第三:對于用來執行查詢的數據庫帳戶,限制其權限。

用不同的用戶帳戶執行查詢、插入、更新、刪除操作。

由于隔離了不同帳戶可執行的操作,因而也就防止了原本用于執行SELECT命令的地方卻被用于執行INSERT、UPDATE或DELETE命令。

  ⑵ 用存儲過程來執行所有的查詢。

SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。

此外,它還使得數據庫權限可以限制到只允許特定的存儲過程執行,所有的用戶輸入必須遵從被調用的存儲過程的安全上下文,這樣就很難再發生注入式攻擊了。

  ⑶ 限制表單或查詢字符串輸入的長度。

如果用戶的登錄名字最多只有10個字符,那么不要認可表單中輸入的10個以上的字符,這將大大增加攻擊者在SQL命令中插入有害代碼的難度。

  ⑷ 檢查用戶輸入的合法性,確信輸入的內容只包含合法的數據。

數據檢查應當在客戶端和服務器端都執行之所以要執行服務器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。

  在客戶端,攻擊者完全有可能獲得網頁的源代碼,修改驗證合法性的腳本(或者直接刪除腳本),然后將非法內容通過修改后的表單提交給服務器。

因此,要保證驗證操作確實已經執行,唯一的辦法就是在服務器端也執行驗證。

你可以使用許多內建的驗證對象,例如RegularExpressionValidator,它們能夠自動生成驗證用的客戶端腳本,當然你也可以插入服務器端的方法調用。

如果找不到現成的驗證對象,你可以通過CustomValidator自己創建一個。

  ⑸ 將用戶登錄名稱、密碼等數據加密保存。

加密用戶輸入的數據,然后再將它與數據庫中保存的數據比較,這相當于對用戶輸入  的數據進行了消毒處理,用戶輸入的數據不再對數據庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。

System.Web.Security.FormsAuthentication類有一個HashPasswordForStoringInConfigFile,非常適合于對輸入數據進行消毒處理。

  ⑹ 檢查提取數據的查詢所返回的記錄數量。

如果程序只要求返回一個記錄,但實際返回的記錄卻超過一行,那就當作出錯處理。

版權聲明:本文由 梁景行 整理編輯。

原標題:從哪些方面可以注入攻擊,關于SQL注入攻擊的防范

轉載注明出處:http://www.dn9ww09s.icu/fault/15108.html

文章評論

    共有條評論來說兩句吧...

    用戶名:

    驗證碼:

作者推薦

  • php文件是什么,怎么打開php文件

    php文件是什么,怎么打開php文件 相關圖片php下載文件PHP文件下載處理方法分析本文主要介紹了PHP文件下載處理方法,實例分析了PHP對于文件下載常見的處理技巧,具有一定的參考價值,需要朋友可以參考本文下面的例子來運行...

  • 正則表達式 字符串,正則表達式包含字符串

    正則表達式 字符串,正則表達式包含字符串 相關圖片c正則表達式提取字符串本文為您提供了一個優秀的ASP教程,用于刪除字符串中的空格和數字正則表達式。這四個替換空間和數字正則表達式是不同的。腳本語言=web效果類型=文本/JavaSc正...

  • 電子表格數組,excel數組怎么用

    電子表格數組,excel數組怎么用 相關圖片excel生成數組本文的例子描述了PHP如何將HTML表的每一行和每一列轉換成一個數組來收集表數據。與您分享以供參考。具體如下:下面的PHP代碼可以將HTML表的每一行和每一列轉數組...

  • 什么是JSP,JSP

    什么是JSP,JSP 相關圖片js和jspCookie應該是一種使用了很長時間的技術。早在HTML出現時,就沒有辦法記錄和識別每個單獨頁面之間的不同用戶。后來,人們發明了曲奇技術。當用戶訪問網頁時,它可yjsp18...

  • 怎么生成pdf格式文件,怎么轉換pdf格式文件

    怎么生成pdf格式文件,怎么轉換pdf格式文件 相關圖片文件怎么轉換成pdfASP是一種古老的語言,它的一些功能對UTF-8的支持很差。例如,如果要生成UTF-8文件,則不能使用常用的SCR instrumentation.filesywps是什么格式的文件...

  • 靜態測試的常用方法,軟件測試中常用的靜態方法是

    靜態測試的常用方法,軟件測試中常用的靜態方法是 相關圖片怎么做靜態測量PHP開發中常用的一個詳細的操作類-希望您能添加更多-完善這個操作類1234567891013141516171819202122232425262728293靜態工作的...

  • 性能優化,前端性能優化

    性能優化,前端性能優化 相關圖片MySQL 性能優化在本文中,我將引導您學習實用的、經過驗證的性能調優技術,這將極大地提高您的servlet和JSP頁面的性能,進而提高J2EE的性能。這些技術的一部分用于開發階段react 性能優...

  • matlab將數據存入數組,怎么把字符串存入數組

    matlab將數據存入數組,怎么把字符串存入數組 相關圖片數組輸入本文的示例描述了PHP如何獲取web頁面中的所有圖片并將它們存儲在數組中。與您分享以供參考。具體如下:123456789101213141516$images=數組轉list...

  • 自定義標簽,自定義標簽在哪

    自定義標簽,自定義標簽在哪 相關圖片自定義一。基本概念:1。Tag:Tag是一個XML元素,通過它可以使JSP頁面變得簡單易維護,并且可以很容易地實現同一個JSP文件來支持多種語言版本。由于標記是XMLQQ自定義標簽8個字...

  • 圓角,圓角怎么用

    圓角,圓角怎么用 相關圖片html圓角代碼如下:?PHP$image﹐file=$﹐get['src'];$corner﹐radius=isset($﹐get['radius'])?$﹐get['rCAD圓角怎么用...

熱評文章

  • Date函數,Date日期函數

    Date函數,Date日期函數 相關圖片date函數的意思一。date adddateadd函數返回已添加指定時間間隔的日期。DateAdd(interval,number,date)DateAdd函數的語法具有以下所concatenate函數...

  • if函數判斷空值,空值函數

    if函數判斷空值,空值函數 相關圖片非空函數本文主要介紹了幾種PHP函數的比較,以判斷其是否為空。本文介紹了gettype()、empty()、is_null()、isset()等函數在不同變量下的返回值函數空值怎么表示...

  • jsperror500,jsperrorpage

    jsperror500,jsperrorpage 相關圖片jsp處理錯誤是什么1. Error page: errorpage.jsp% @ page iserrorpage = "true"% HTML head meta http ejsp文件...

  • 關鍵詞代碼,如何知道代碼關鍵詞

    關鍵詞代碼,如何知道代碼關鍵詞 相關圖片球球關鍵詞代碼在web開發中,我經常遇到多個關鍵字對來查詢單個字段,這通常是通過動態數組來實現的。當然,多個關鍵字通常用空格或分隔。我假設多個關鍵字由空格分隔。關鍵字...

  • 什么是黑帽,黑帽

    什么是黑帽,黑帽 相關圖片黑帽工具我給你一條路。我的想法是大多數大人物都想留下QQ或電話號碼。然后我將匹配規則以在搜索中找到數字,并判斷數字字符串的長度以確定代碼是否用于垃圾搜索:1234567黑帽回...

  • html生成,首頁生成html

    html生成,首頁生成html 相關圖片sublime快速生成html5有很多新聞系統可以生成HTML,但它們都是模板。此函數將ASP頁面生成的HTML代碼保存到HTML文件中,以便在不更改原始頁面的情況下輕松完成生成HTML的新聞html生成工具...

  • 怎樣清理應用程序緩存,安卓應用緩存進程

    怎樣清理應用程序緩存,安卓應用緩存進程 相關圖片手機軟件緩存清理后果為了提高ASP程序的性能,人們經常在應用程序中緩存常用的數據,但是如何在修改數據庫后更新應用程序呢?本文為您提供了一個合理的解決方案。<%級wawa_app_...

  • APQP的十大基本原則,新聞的十大基本原則

    APQP的十大基本原則,新聞的十大基本原則 相關圖片sel計劃十大基本原則由于ASP本身是服務器提供的一種貢品服務功能,特別是Dvbbs的upfile文件文件近年來易受攻擊,具有高度的隱蔽性和難以殺滅性,對網站的安全構成了嚴重威脅。因為人...

  • mysqldump導出命令,mysqldump命令詳解

    mysqldump導出命令,mysqldump命令詳解 相關圖片mysqldump怎么用PHP使用外部命令導出數據庫。代碼非常簡單。沒什么廢話。1234567891012131415161718192021?PHP//$dumpfilename目錄mysqldump使用...

  • 如何返回一個字符串,返回字符串

    如何返回一個字符串,返回字符串 相關圖片什么叫做字符串%Dwwwstr=divdwwww.cn/div div divdwww.cn/div design home Dwwwstr=InStrRev(Dwwwstr字符串地址...

關注微信

变脸官网查询