Dreamweaver中sql注入式攻击的防范

风筝82212

风筝82212

2016-02-19 18:40

给自己一点时间接受自己,爱自己,趁着下午茶的时间来学习图老师推荐的Dreamweaver中sql注入式攻击的防范,过去的都会过去,迎接崭新的开始,释放更美好的自己。

Dreamweaver+ASP可视化编程门槛很低,新手很容易上路。在很短的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。

在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/webkaifa/)

所谓SQL注入(SQL injection),就是利用程序员对用户输入数据的合法性检测不严或不检测等设计上的漏洞,故意从客户端提交特殊的代码(SQL命令),收集程序及服务器的信息,获取想得到的资料而进行的攻击。

可见Sql注入攻击得逞的主要原因没有对用户输入的数据进行验证,可以从客户端动态生成Sql命令。
一般的http请求不外乎get 和 post,所以只要我们在程序中过滤所有post或者get请求的参数信息中非法字符,即可实现防范SQL注入攻击。

遗憾的是DW并没有提供相关代码,因此要想防范SQL注入式攻击就需要手工修改,只要将下面的程序保存为SQLinjection.asp,然后在需要防注入的页面头部调用
!--#Include File="SQLinjection.asp"--
就可以做到页面防注入.

如果想整站防注,就在DW生成的Connections目录下的数据库连接文件中添加头部调用或直接添加下面程序代码,需要注意的是,在添加到数据库连接文件中,可能在后台表单添加文章等内容时,如遇到SQL语句系统会误认为SQL攻击而提示出错。

通用程序代码(引自网络做适当更改)如下:

%
'--------定义部份------------------
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete
|update|count|*|%|chr|mid|master|truncate|char
|declare|1=1|1=2|;"
SQL_inj = split(SQL_Injdata,"|"

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/webkaifa/)

'--------POST部份------------------
If Request.QueryString"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),
Sql_Inj(Sql_DATA))0 Then
Response.Write "Script Language=JavaScript
alert('系统提示你!nn请不要在参数中包含非法字符尝试注入!nn');window.location="&"'"&"index.htm"&"'"&";/Script"
Response.end
end if
next
Next
End If

'--------GET部份-------------------
If Request.Form"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))0 Then
Response.Write "Script Language=JavaScript
alert('系统提示你!nn请不要在参数中包含非法字符尝试注入!nn');window.location="&"'"&"index.htm"&"'"&";/Script"
Response.end
end if
next
next
end if
%

通过上面的程序,就可以实现抵御从Get方法或Post方法提交的危险SQL注入字符,并警告入侵者后转向到index.htm(首页)。

展开更多 50%)
分享

猜你喜欢

Dreamweaver中sql注入式攻击的防范

Web开发
Dreamweaver中sql注入式攻击的防范

防范SQL注入式攻击

SQLServer
防范SQL注入式攻击

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

防范sql注入式攻击js版本

Web开发
防范sql注入式攻击js版本

JSP如何防范SQL注入攻击

Web开发
JSP如何防范SQL注入攻击

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

JSP 防范SQL注入攻击分析

Web开发
JSP 防范SQL注入攻击分析

SQL注入程序带来的攻击及防范

Web开发
SQL注入程序带来的攻击及防范

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

你的网页“面目全非”过吗?

你的网页“面目全非”过吗?

Test of the Java Skill(1)

Test of the Java Skill(1)
下拉加载更多内容 ↓