Quick Search


Tibetan singing bowl music,sound healing, remove negative energy.

528hz solfreggio music -  Attract Wealth and Abundance, Manifest Money and Increase Luck



 
Your forum announcement here!

  Free Advertising Forums | Free Advertising Board | Post Free Ads Forum | Free Advertising Forums Directory | Best Free Advertising Methods | Advertising Forums > Post Your Free Ads Here in English for Advertising .Adult and gambling websites NOT accepted. > Small Business Opportunities:

Small Business Opportunities: This section is for posting your free classified ads about different work at home and home based business opportunities. NO PORN ALLOWED!

 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
Old 08-10-2011, 08:59 PM   #1
wuogda3349
 
Posts: n/a
Default edhardy women tanks8863439

Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击 动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因
比如一个在线书店,canada goose store online,可以根据用户的输入关键字搜索相关的图书。
string name = GetUserInput("BookName");
string script = "select table_book where book_name? like? N'%" + name + RunSql(script)
RunSql(script);
如果
name? = " ' select @@servername where '' = ' ";
这样就可以得到DB Server的名字
还以在线书店为例,lacoste wholesale6045827,用户只有登陆后才能察看自己的帐户信息,这样做是无可置疑的,然而用户验证的代码如下
//id和password直接来自用户的输入,canada goose Women CG55 Trillium Parka goodlooking。未做处理
string id = GetUserInput("UserID");
string password = GetUserInput("UserPassword");
tring script = "select * from table_user where User_ID = '" + id? + "' and User_Password? = '" + password? + "' ";
RunSql(script);
如果用户输入的password为“ or ''=' ”,lacoste men dress shirts shop online,那么生成的script就为
select * from table_user where User_ID = 'UserID' and User_Password? = ' ' or ''=' '
这样一来,vibram fivefingers sale usa,即使不知道用户的密码也可以察看该用户的帐户信息了
再比如,discount edhardy uk,入侵者会把一些巧妙伪装的代码嵌入到你动态生成的Sql命令中,authentic lacoste,mbt sini shoes5869618,比如
Delete table_Book where 1 = 1? ...
use master--
上面的例子都是一些简单的示例,攻击者还可能通过sql的漏洞对操作系统进行攻击,比如运行
[xp_cmdshell],[xp_regread]
当然实际上的攻击没有这么简单,攻击者还会利用系统设计的其他漏洞。比如程序把数据库返回的出错信息没有进 行转换就直接输出给用户看,那么攻击者就设计一些sql语句诱导系统返回需要的信息
从上面的这些例子可以看出,对数据库访问权限的设计不当,给与每一个数据库连接太多的权限,甚至dbo或s a的权限,mbt tunisha shoes,也是sql注入式攻击利用的主要漏洞之一。
?
防范sql注入式攻击
最小权限原则。特别是不要用dbo或者sa账户,为不同的类型的动作或者组建使用不同的账户,最小权限原则 适用于所有与安全有关的场合
对用户输入进行检查。对一些特殊字符,比如单引号,双引号,juicy couture tracksuit short sleeve6167455,分号,edhardy women tanks,逗号,冒号,连接号等进行转换或者过滤;使用强数据类型,比如你需要用户输入一个整数,就要把用户输入的 数据转换成整数形式;限制用户输入的长度等等。这些检查要放在server运行,edhardy online shop,client提交的任何东西都是不可信的
使用存储过程,Abercrombie&Fitch store online,如果一定要使用sq语句,那么用标准的方式组建sql语句,比如可以利用parameters对象,避免 用字符串直接拼sq命令。
当sql运行出错时,不要把数据库返回的错误信息全部显示给用户,错误信息经常会透露一些数据 库设计的细节
针对常用的sql注入式攻击方式对症下药
  Reply With Quote
 


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off


All times are GMT. The time now is 03:05 PM.

 

Powered by vBulletin Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Free Advertising Forums | Free Advertising Message Boards | Post Free Ads Forum