如何防范SQL注入,有请热心人

大少爷

学校的网站已有二个被SQL注入.

google有很多文章,但还是请热心人指点一下.

天蓝

注入?这方面没了解。

netwinxp

1、及时给SQLSERVER打补丁。
2、检查SQL接口文件(ASP通常是CONN.ASP)，尽量过滤掉*、%、exec等关键词。
3、网页文件调用数据库表的时候，尽可能避免使用*、%的通配符，直接使用要筛选的字段列表。
4、把数据库文件(特别是改名为.ASP的数据库)放到不可执行和下载的目录(现在很多网站支持)，实在不行就在文件名中间加#，比如index.asp#.asp，数据库前端加入
%网页转向语句%
%1>1%
%on error resume next%
%转向语句%
...
防止数据库被当成webshell，成为入侵跳板。
5、认真检查.JS文件，防止被挂马。
6、尽可能不引用其他网站的脚本和网页。