昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。 这是数据库里留下的一些记录。最后那人弄了一个无线循环弹出框的脚本,估计这个脚本之后他再想输入也没法了。 类似这种: 我立刻认识到这事件严重性,它说明我的博客有严重安全问题 ...
分类:
数据库 时间:
2016-12-29 23:01:26
阅读次数:
368
登录页面的制作 后端 sql注入攻击 a' or 1=1 #1.过滤用户的输入2.使用预处理语句写代码的时候尽量避免 ...
分类:
其他好文 时间:
2016-12-18 18:32:24
阅读次数:
152
addslashes(); 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3 ...
分类:
数据库 时间:
2016-12-16 22:48:41
阅读次数:
316
以下三篇文件关于SQL注入写的很通俗易懂,整理收藏下渗透攻防Web篇-SQL注入攻击初级:http://bbs.ichunqiu.com/thread-9518-1-1.html渗透攻防Web篇-SQL注入攻击中级:http://bbs.ichunqiu.com/thread-9668-1-1.html渗透攻防Web篇-SQL注入攻击高级:http://bbs.ichunqiu.com/thr..
分类:
数据库 时间:
2016-12-09 22:30:54
阅读次数:
403
如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可以查询到所有数据 SQL数据库字符串注入攻击:需要使用cmd.Parameters这个集合占位符: @key 代表这 ...
分类:
数据库 时间:
2016-12-01 02:20:14
阅读次数:
259
防止SQL数据库字符串注入攻击 SQL数据库字符串注入攻击:需要使用cmd.Parameters这个集合占位符: @key 代表这个位置用这个占位符占住了 Parameters这个集合中将此占位符所代表的数据补全 cmd.Parameters.Clear(); --添加占位符数据之前,要清空此集合c ...
分类:
其他好文 时间:
2016-11-30 07:54:07
阅读次数:
187
规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可以查询到所有数据,不要轻易相信用户输入的内容 防止SQL注入攻击 通用方法:可以用正则匹配掉特殊符号 ...
分类:
数据库 时间:
2016-11-29 22:31:06
阅读次数:
176
在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入班级值 --:代表后边内容都被注释掉了 防止SQL注入攻击方法: 再给命令发送SQL语句的时候分两次发送,把SQL语句拆成两块,用户输入的是一块;本身写好的是一块,第一次把CommandText里写的sql语句发过去;第二次把变量值发过去 ...
分类:
Web程序 时间:
2016-11-29 14:22:53
阅读次数:
206
我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特别注意什么? 一、为何要优先使用PDO? PHP手册上说得很清楚: Prepared stateme ...
分类:
数据库 时间:
2016-11-24 08:43:24
阅读次数:
284
