栏目导航
热点推荐
- 心得:Sql语句绝妙用法
- SQL Server数据转换服务小妙招
- SQL Server数据库常用的T-SQL命
- 详解SQLServer 存储过程
- SQL数据库挂马解决方案
- 分析 SQL Server 的内存为何不断
- SQL Server数据库查询速度慢的原
- 详细讲解删除SQL Server日志的具
- 三步骤快速创建SQL Server数据库
- SQL Server事务日志的几个常用操
- SQLServer应用程序中的高级SQL注
- 使用SQL Server 2008进行服务器
阅览排行
Dreamweaver中sql注入式攻击的防范
www.jz123.cn 2010-10-20 来源: 中国建站 我要投递新闻
Dreamweaver+ASP可视化编程门槛很低,新手很容易上路。在很短的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。
在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞。
所谓SQL注入(SQL injection),就是利用程序员对用户输入数据的合法性检测不严或不检测等设计上的漏洞,故意从客户端提交特殊的代码(SQL命令),收集程序及服务器的信息,获取想得到的资料而进行的攻击。
可见Sql注入攻击得逞的主要原因没有对用户输入的数据进行验证,可以从客户端动态生成Sql命令。
一般的http请求不外乎get 和 post,所以只要我们在程序中过滤所有post或者get请求的参数信息中非法字符,即可实现防范SQL注入攻击。
遗憾的是DW并没有提供相关代码,因此要想防范SQL注入式攻击就需要手工修改,
只要将下面的程序保存为SQLinjection.asp,然后在需要防注入的页面头部调用
就可以做到页面防注入.
如果想整站防注,就在DW生成的Connections目录下的数据库连接文件中添加头部调用或直接添加下面程序代码,需要注意的是,在添加到数据库连接文件中,可能在后台表单添加文章等内容时,如遇到SQL语句系统会误认为SQL攻击而提示出错。
通用程序代码(引自网络做适当更改)如下:
通过上面的程序,就可以实现抵御从Get方法或Post方法提交的危险SQL注入字符,并警告入侵者后转向到index.htm(首页)。
<!--#Include File="SQLinjection.asp"-->
就可以做到页面防注入.
如果想整站防注,就在DW生成的Connections目录下的数据库连接文件中添加头部调用或直接添加下面程序代码,需要注意的是,在添加到数据库连接文件中,可能在后台表单添加文章等内容时,如遇到SQL语句系统会误认为SQL攻击而提示出错。
通用程序代码(引自网络做适当更改)如下:
以下为引用的内容: '--------POST部份------------------ '--------GET部份------------------- |
通过上面的程序,就可以实现抵御从Get方法或Post方法提交的危险SQL注入字符,并警告入侵者后转向到index.htm(首页)。
上一篇:如何判断Sql Server中表或者数据库的存在 下一篇:PHP与SQL注入攻击