瑞星卡卡安全论坛技术交流区入侵防御(HIPS) http://cn.daxia123.cn/cn.js数据库注入 情况通报!

123   2  /  3  页   跳转

http://cn.daxia123.cn/cn.js数据库注入 情况通报!

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

解决办法:1 严格过滤 request.form 和 request.querystring 获取的内容,坚决不用 request("name") 这样的方式获取值,凡是采用 cookies 保存的内容,尽量不要用在sql语句里进行查询数据库操作;2 重要的用户资料尽量采用 session 验证,因为session是服务器端的,客户端无法伪造数据,除非他有你服务器的权限。

可以采用以下的防范 get 、post以及cookies 注入的代码来过滤 sql 注入攻击:


<%
Response.Buffer = True  '缓存页面
'防范get注入
If Request.QueryString <> ""  Then StopInjection(Request.QueryString)
'防范post注入
If Request.Form <> ""  Then StopInjection(Request.Form)
'防范cookies注入
If Request.Cookies <> ""  Then StopInjection(Request.Cookies)
'正则子函数
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
    regEx.IgnoreCase = True
    regEx.Global = True
    regEx.Pattern = "'|;|#|([\s\b+()]+([email=select%7Cupdate%7Cinsert%7Cdelete%7Cdeclare%7C@%7Cexec%7Cdbcc%7Calter%7Cdrop%7Ccreate%7Cbackup%7Cif%7Celse%7Cend%7Cand%7Cor%7Cadd%7Cset%7Copen%7Cclose%7Cuse%7Cbegin%7Cretun%7Cas%7Cgo%7Cexists)[/s/b]select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b[/email]+]*)"
    Dim sItem, sValue
    For Each sItem In Values
        sValue = Values(sItem)
        If regEx.Test(sValue) Then
            Response.Write "<Script Language=javascript>alert('非法注入!你的行为已被记录!!');history.back(-1);</Script>"
            Response.End
        End If
    Next
    Set regEx = Nothing
End function
%>

    把以上的代码另存为一个文件,如 antisql.asp ,然后在数据库连接文件开头包含这个文件 <!--#include file="antisql.asp"--> ,就可以实现全站的防范 sql 注入的攻击了。
gototop
 

回复: http://cn.daxia123.cn/cn.js数据库注入 情况通报!



引用:
原帖由 xutingxin 于 2008-12-28 12:43:00 发表
解决办法:1 严格过滤 request.form 和 request.querystring 获取的内容,坚决不用 request("name") 这样的方式获取值,凡是采用 cookies 保存的内容,尽量不要用在sql语句里进行查询数据库操作;2 重要的用户资料尽量采用 session 验证,因为session是服务器端的,客户端无法伪造数据,除非他有你服务器的权限。



感谢 xutingxin !我网站暂时得到控制。昨晚守到12点没出现问题。
最后编辑eduey 最后编辑于 2008-12-29 00:33:30
gototop
 

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

把以上的代码另存为一个文件,如 antisql.asp ,然后在数据库连接文件开头包含这个文件 <!--#include file="antisql.asp"--> ,就可以实现全站的防范 sql 注入的攻击了。

加在文件的第一行包含就行了
最后编辑xutingxin 最后编辑于 2008-12-28 13:39:11
gototop
 

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

我对楼上的做一下补充
这个防注入只是相对的
并不能完全杜绝有人注入
因为网络中有相关的对付防注入的入侵手法
所以建议各位站长使用网站程序的使用,使用名气大一点的程序
那样补丁更新的即时一些
还有就是密码设置强壮一点
不要只是数字,字母,另外可以修改下后台登陆路径等等
都是相应的处理办法
gototop
 

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

我的也是sql server 2000
gototop
 

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

我们的两个网站都被注入了。现在该如何办呀。郁闷呢。
gototop
 

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

我按 xutingxin 说的做了,看行不行,先谢谢!
gototop
 

回复: http://cn.daxia123.cn/cn.js数据库注入 情况通报!

狗日的.钢清理完.数据库里又有了..真xxx没爹.搜到这个人.非弄死他不可
gototop
 

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

这个东西很烦的,搞的俺换了个服务器,目前正常运行了三天,我自己加了一些其它的防注入代码,不知道有没有效呢……
gototop
 

回复:http://cn.daxia123.cn/cn.js数据库注入 情况通报!

我操,我也被注入了
gototop
 
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT