sql注入整理
来源:互联网 发布:淘宝高仿鞋店推荐 编辑:程序博客网 时间:2024/04/30 11:46
推荐:SQL注入攻防入门 http://www.cnblogs.com/heyuquan/archive/2012/10/31/2748577.html
sql注入 工具 http://blog.jobbole.com/17763/
“SQL注入天书”作者自己提供的终极防范方案就是 replace("'","''")。并且在参数前后加单引号。也可防止16进制注入
select * from table1 where id=1;(declare @d varchar(8000) set @d=0x27eeadf...)
我们用单引号替换法修改后最终执行的sql如下:
select * from table1 where id=‘1;(declare @d varchar(8000) set @d=0x27eeadf...;)’
可以看到1;(declare @d varchar(8000) set@d=0x27eeadf...;) 被当做字符串处理,而不会被解析
当然这个过程中没有替换单引号。 如果declare 后面有单引号的话 还要把单引号替换成两个单引号(不替换的话会有被截断、注入的可能),比如:
select * from table1 where id=1;(declare @d varchar(8000) set @d=‘eee’)
我们用单引号替换法修改后最终执行的sql如下:
select * from table1 where id=‘1;(declare @d varchar(8000) set @d=''eee'')'
- sql注入整理
- SQL注入整理
- SQL注入式脚本整理
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- 防止SQL注入- 整理篇
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- SQL注入专题--整理帖
- sql注入的一些整理
- 全手工SQL注入式脚本整理
- SQL 注入露洞相关知识整理
- C++中引用(&)的用法和应用实例
- AndroidManifest.xml 详解 2 配置 详解
- ARP协议分析
- HDU 1312 Red and Black
- 分享一个学习PL/SQL的外国的好网站
- sql注入整理
- temp
- JFreeChart
- lhgdialog
- 快速排序 平均时间复杂度 分析(random pivot)
- WPF 获取主程序(主窗口)对象
- 提示框进度条第三方库之MBProgressHUD
- ie6下面关于html编码问题导致的js出错,css不被应用
- Effective C++读书笔记(33)
1) 在构造动态SQL语句时,一定要使用类安全(type-safe)的参数加码机制。(也就是参数化)
2) 在部署你的应用前,始终要做安全审评(security review)。
3) 千万别把敏感性数据在数据库里以明文存放。
4) 确认你编写了自动化的单元测试,来特别校验你的数据访问层和应用程序不受SQL注入攻击。
5) 锁定你的数据库的安全,只给访问数据库的web应用功能所需的最低的权限。