UC知道SQL 注入问题 悬赏分,你来定~!
来源:百度知道 编辑:UC知道 时间:2024/09/21 04:23:35
所谓的SQL注入我算是值得有这么回事,但是现在的问题是。SQL怎么注入,在那里注入。最重要的是怎么防止它?我现在时去掉了所有的特殊字符。还有多大可能被注入?
复制的答案就不要来了,我自己有327分,只要你回答上来。你要多少分,自己说吧!
谢谢~!javagarden 第一个回答。
我认为,注入的关键在于“服务器消息返回”如果没有这个的话,邪恶的人们什么事都做不了。
对于返回消息。FORM表单 就 增删查改 四的 增,不会有返回消息。主要在 查 和 改 的上面。
在查的方面,去掉所有的特殊字符,用模糊查找 %xx%。改说白就是 查 和 增。
不知道我这样说算不算对。
第二次补充:
关于URL的注入的防御是不是在页面里?而不是在JAVA的class里
我一直在考虑页面信息的防注入。也不知道对不对。我刚说的…………
复制的答案就不要来了,我自己有327分,只要你回答上来。你要多少分,自己说吧!
谢谢~!javagarden 第一个回答。
我认为,注入的关键在于“服务器消息返回”如果没有这个的话,邪恶的人们什么事都做不了。
对于返回消息。FORM表单 就 增删查改 四的 增,不会有返回消息。主要在 查 和 改 的上面。
在查的方面,去掉所有的特殊字符,用模糊查找 %xx%。改说白就是 查 和 增。
不知道我这样说算不算对。
第二次补充:
关于URL的注入的防御是不是在页面里?而不是在JAVA的class里
我一直在考虑页面信息的防注入。也不知道对不对。我刚说的…………
对于webapp程序,SQL注入,一般在客户端向服务器端发送数据的时候,
才有可能发生。而发送数据的可能的地方,一个是form表单,一个是url
就是你的ie地址栏。所以只要把这两个地方给过滤了,应该就安全了。
过滤的方法,可以参考下面的帖子。
http://hi.baidu.com/javagarden/blog/item/1d52968687b5053666096e21.html
希望对你有帮助,最近我也在考虑这方面的。大家可以讨论下,信息也共享下。
-------------------------
“服务器消息返回”当然给不良用户,提供了一些信息。
但是,如果你把他提交的数据这关把牢了,他还能干什么?
还有什么可干??或许通过其他的黑客扫描工具了。那就考虑数据库软件本身的
安全设置了。
防SQL注入不仅要在提交到服务器数据上严格审查,而且还要数据库层面严把权限关。
1.分配数据库权限,对于一般的操作来说,分配只读,可写帐号就能满足需求,尽量不要在项目中使用dba或以上权限
2.限制只读,可写帐号对系统表,系统存储过程的访问,尤其是一些敏感的表比如sysobjects等
加上楼上的对数据审查,即可防范一般的SQL注入攻击.