仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 551|回复: 8
打印 上一主题 下一主题

[学习教程] MYSQL编程:提防SQL注进式打击

[复制链接]
爱飞 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:34:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
由于MySQL数据库已经如此普及,对企业来说它无疑是一个更好的选择。打击SQL注进式打击是使用是指使用计划上的毛病,在方针服务器上运转Sql命令和举行其他体例的打击
静态天生Sql命令时没有对用户输出的数据举行考证是Sql注进打击未遂的次要缘故原由。
好比:
假如你的查询语句是select*fromadminwhereusername="&user&"andpassword="&pwd&""
那末,假如我的用户名是:1or1=1
那末,你的查询语句将会酿成:
select*fromadminwhereusername=1or1=1andpassword="&pwd&""
如许你的查询语句就经由过程了,从而就能够进进你的办理界面。
以是提防的时分必要对用户的输出举行反省。出格式一些特别字符,好比单引号,双引号,分号,逗号,冒号,毗连号等举行转换大概过滤。
必要过滤的特别字符及字符串有:
  netuser
  xp_cmdshell
  /add
  execmaster.dbo.xp_cmdshell
  netlocalgroupadministrators
  select
  count
  Asc
  char
  mid
  
  :
  "
  insert
  deletefrom
  droptable
  update
  truncate
  from
  %
上面是我写的两种关于办理注进式打击的提防代码,供人人进修参考!
js版的提防SQL注进式打击代码~:
[CODESTART]  
<scriptlanguage="javascript">
<!--
varurl=location.search;
varre=/^?(.*)(select%20|insert%20|delete%20from%20|count(|drop%20table|update%20truncate%20|asc(|mid(|char(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|"|:|net%20user||%20or%20)(.*)$/gi;
vare=re.test(url);
if(e){
alert("地点中含有不法字符~");
location.href="error.asp";
}
//-->
<script>
[CODEEND]

asp版的提防SQL注进式打击代码~:
[CODESTART]
<%
OnErrorResumeNext
DimstrTemp
IfLCase(Request.ServerVariables("HTTPS"))="off"Then
strTemp="http://"
Else
strTemp="https://"
EndIf
strTemp=strTemp&Request.ServerVariables("SERVER_NAME")
IfRequest.ServerVariables("SERVER_PORT")80ThenstrTemp=strTemp&":"&Request.ServerVariables("SERVER_PORT")
strTemp=strTemp&Request.ServerVariables("URL")
IfTrim(Request.QueryString)""ThenstrTemp=strTemp&"?"&Trim(Request.QueryString)
strTemp=LCase(strTemp)
IfInstr(strTemp,"select%20")orInstr(strTemp,"insert%20")orInstr(strTemp,"delete%20from")orInstr(strTemp,"count(")orInstr(strTemp,"drop%20table")orInstr(strTemp,"update%20")orInstr(strTemp,"truncate%20")orInstr(strTemp,"asc(")orInstr(strTemp,"mid(")orInstr(strTemp,"char(")orInstr(strTemp,"xp_cmdshell")orInstr(strTemp,"exec%20master")orInstr(strTemp,"net%20localgroup%20administrators")orInstr(strTemp,":")orInstr(strTemp,"net%20user")orInstr(strTemp,"")orInstr(strTemp,"%20or%20")then
Response.Write"<scriptlanguage=javascript>"
Response.Write"alert(不法地点!!);"
Response.Write"location.href=error.asp;"
Response.Write"<script>"
EndIf
%>
[CODEEND]
转自:静态网“对于MySQL数据库,无论是在开发方面,还是支持方面,现在有大量强大的MySQL学习教程可以选择。每一个新手开发者可以轻松地使用MySQL数据库进行开发。
飘飘悠悠 该用户已被删除
沙发
发表于 2015-1-19 16:55:01 | 只看该作者
学习SQL语言的话如果要学会去做网站就不是很难!但是要做数据库管理的话就有难度了!
因胸联盟 该用户已被删除
板凳
发表于 2015-1-25 10:51:22 | 只看该作者
这是一个不错的新特性。虽然索引的附加字段没有索引键值效率高,但是相对映射到数据表中效率还是提高了很多。我做过试验,在我的实验环境中会比映射到表中提高30%左右的效率。
小妖女 该用户已被删除
地板
发表于 2015-2-2 21:44:17 | 只看该作者
比如,MicrosoftSQLServer2008的某一个版本可以满足现在的这个业务的需要,而且价格还比Oracle11g要便宜,那么这一产品就是适合的。
愤怒的大鸟 该用户已被删除
5#
发表于 2015-2-8 07:30:33 | 只看该作者
数据库物理框架没有变动undo和redo都放在数据库得transaction中,个人感觉是个败笔。如果说我们在设计数据库的时候考虑分多个数据库,可能能在一定程度上避免I/O效率问题。
飘灵儿 该用户已被删除
6#
发表于 2015-2-25 00:13:19 | 只看该作者
发几份SQL课件,以飨阅者
莫相离 该用户已被删除
7#
发表于 2015-3-7 14:39:28 | 只看该作者
个人感觉没有case直观。而且默认的第三字段(还可能更多)作为groupby字段很容易造成新手的错误。
爱飞 该用户已被删除
8#
 楼主| 发表于 2015-3-15 07:39:38 | 只看该作者
始终遗憾SQLServer的登陆无法分配CPU/内存占用等指标数。如果你的SQLServer给别人分配了一个只可以读几个表的权限,而这个家伙疯狂的死循环进行连接查询,会给你的系统带来很大的负担。
再现理想 该用户已被删除
9#
发表于 2015-3-21 21:46:49 | 只看该作者
但换公司用MSSQL2K感觉自己好像根本就不了解MSSQL。什么DTS触发器以前根本没用过。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 22:14

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表