zoukankan      html  css  js  c++  java
  • ASP 二进制SQL注入程序思索

     最近维护一个ASP网站,发现其被SQL注入,和往常的SQL注入不同的是他居然吧SQL语句编译成了二进制,然后再执行SQL写一个存储过程,然后再执行,最后删除存储过程,让你无际可循。说实话,我很佩服现在的黑客,如果可以我也想学学,这是怎么写出来的。。呵呵 下面是他执行的SQL的源码

     

    经过编译 其实就是这个样子 

    是不是 看得你脑壳大  。。。没办法 其实我的脑壳也很大   这些代码的出处为 http://blog.csdn.net/tkjune/archive/2009/01/03/3687728.aspx

    加上以前的那些东东,其实也让我恍然一下想起了很多。原来原理都是一样啊,通过那些不注意对自己的ID那些进行加密的网站的URL 例如 Class.asp?id=1 这些进行加后缀然后SQL注入攻击。那我们如何防御呢。

    思想很简单,其实就是过滤这些增 删 改 差字段。在你的数据访问类里面进行过滤。针对一些汇编语言的SQL注入,我建议大家还是对输入的SQL进行二进制的转码 然后再对比。然后过滤。如果考虑安全性考虑,我觉得还是应该在数据库里面写触发器 通过触发器进行SQL语句的过滤

  • 相关阅读:
    使用PHP QR Code生成二维码
    thinkphp伪静态(url重写)
    jQuery Ajax 实例 ($.ajax、$.post、$.get)
    php各种编码集详解和以及在什么情况下进行使用
    PHP无限极分类生成树方法,无限分级
    PHP5: mysqli 插入, 查询, 更新和删除 Insert Update Delete Using mysqli (CRUD)
    Js获取当前日期时间及其它操作
    Spring源码解读Spring IOC原理
    java多线程系列六、线程池
    springMVC中ajax的实现
  • 原文地址:https://www.cnblogs.com/dingdingmao/p/3146572.html
Copyright © 2011-2022 走看看