主题:  请问版主:关于怎样防止SQL注入的问题

hncsckr
职务:普通成员
等级:1
金币:0.0
发贴:24
注册:2005/4/15 16:44:05
#12005/4/22 10:28:35
我在本地测试自己做的网站,用一个SQL注入的工具进行检测,结果中发现有漏洞,工具提示“http://127.0.0.1/EliteShow.asp?ArticleID=244”,现在的问题是发现有漏洞,但我怎么处理它呢,诚心请教,非常感谢!



缺缺
职务:管理员
等级:8
金币:41.0
发贴:9620
注册:2004/1/14 19:14:47
#22005/4/22 12:36:09
先弄清楚SQL注入是怎么注入的,这样才会知道怎么去防范这个问题



hncsckr
职务:普通成员
等级:1
金币:0.0
发贴:24
注册:2005/4/15 16:44:05
#32005/4/22 17:22:32
问题就是搞不清楚SQL注入到底是怎么一回事,请教版主能举例详细说明吗,真的很需要您的帮助

蓝鲸
职务:版主
等级:5
金币:42.1
发贴:2614
注册:2001/12/20 15:57:57
#42005/4/23 1:25:34
sql注入攻击,就是在文本框或url参数中,输入一些sql中的语句,使程序执行这些输入的sql。sql攻击性有很多,通过一定组合的语句,可以进入到系统管理、修改sqlserver的用户权限等。
但如果在输入框或对url参数进行字符过滤,如or,and,%等,在sql中尽量不要以系统管理员的身份连接sqlserver,就可以有效阻止一些攻击。
sql注入攻击可以参考一些防止黑客的书籍,ASP.NET中,安全性有了提高,默认情况下,对输入的内容进行验正了。


非常大鱼

{ 在指尖上绽放的花朵 }
职务:普通成员
等级:5
金币:14.0
发贴:3209
注册:2002/7/25 21:24:11
#52005/4/23 15:07:16
限制字符'的使用。。。。

或者分解使用 SQL 语句。