黑马程序员技术交流社区

标题: sql 注入漏洞攻击 [打印本页]

作者: ckz0409 时间: 2012-7-5 10:09
标题: sql 注入漏洞攻击
为防止黑客通过SQL注入漏洞的方式攻击，除了通过视频里将的将拼接字符串，改为参数传递，是不是还有其他的办法？想听听各位是的观点？

作者: 孙宁宇 时间: 2012-7-5 10:18
可以先使用正则验证输入的内容
把不合法的数据线过滤

作者: 许庭洲 时间: 2012-7-5 10:24
1，SQL注入，这个很早的事情了，流行于ASP时代,主要是由于前台验证不够，后台又没有过滤不安全字符；
2，写一个函数，代替ASP中的Request函数，可以对一切的SQL注入Say NO；
3，查看和修改等的权限分离
4.，过滤所有用户输入
5，把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令
6，用存储过程来执行所有的查询
7，完善用户输入的的长度和类型等验证
8，检查用户输入的合法性
9，将用户登录名称、密码等数据加密保存。

作者: 冯奎智 时间: 2012-7-5 10:55
对于SQL注入漏洞，对症下药，其实不外乎两种方法：
一个是，sql语句参数化

另一个就是sql关键字过滤

作者: 朱灿 时间: 2012-7-5 12:05
一般是没有正确过滤转义字符，这样一般会导致应用程序的终端用户对数据库上的语句实施操纵。

作者: 程艳伟 时间: 2012-7-5 12:35
可以过滤，将关键字直接换成其他的字符，也可以直接封杀关键字，只要输入关键字直接提示，禁止输入

作者: 常邦存 时间: 2012-7-5 14:19
使用参数化语句..

作者: 王志波 时间: 2012-7-5 18:31
lz都说了，用sql关键字过滤，自己试试。

作者: 王玲星 时间: 2012-7-5 22:12
SQL注入式攻击的防治：
1.普通用户与系统管理员用户的权限要有严格的区分。
2.强迫使用参数化语句。
3.加强对用户输入的验证。
4.多多使用SQL Server数据库自带的安全参数。
5.必要的情况下使用专业的漏洞扫描工具来寻找可能攻击的点。

作者: 常静华 时间: 2012-7-6 17:47
本帖最后由常静华于 2012-7-6 17:50 编辑

学学Linq就好了！微软给封装好的！数据库操作代码不用写，只要微软不倒，黑客就攻破不了！DataParmeter也可以，你可以自己学学！！

作者: 谢栋文 时间: 2012-7-7 07:07
防止注入攻击最好的方式就是使用存储过程，因为参数化语句最后也是调用的存储过程！！！

作者: 谢栋文 时间: 2012-7-7 07:08
另外还有视图。。

欢迎光临黑马程序员技术交流社区 (http://bbs.itheima.com/)

黑马程序员IT技术论坛 X3.2