无忧启动论坛

标题: 如何防范SQL注入,有请热心人 [打印本页]

作者: 大少爷 时间: 2009-9-2 07:55
标题: 如何防范SQL注入,有请热心人
学校的网站已有二个被SQL注入.

google有很多文章,但还是请热心人指点一下.

作者: 天蓝 时间: 2009-9-4 21:00
注入?这方面没了解。

作者: netwinxp 时间: 2009-9-5 19:17
1、及时给SQLSERVER打补丁。
2、检查SQL接口文件(ASP通常是CONN.ASP)，尽量过滤掉*、%、exec等关键词。
3、网页文件调用数据库表的时候，尽可能避免使用*、%的通配符，直接使用要筛选的字段列表。
4、把数据库文件(特别是改名为.ASP的数据库)放到不可执行和下载的目录(现在很多网站支持)，实在不行就在文件名中间加#，比如index.asp#.asp，数据库前端加入
%网页转向语句%
%1>1%
%on error resume next%
%转向语句%
...
防止数据库被当成webshell，成为入侵跳板。
5、认真检查.JS文件，防止被挂马。
6、尽可能不引用其他网站的脚本和网页。

欢迎光临无忧启动论坛 (http://wuyou.net/)