1 /** 2 * 第一行匹配特殊字符; 3 * 第二行匹配开头和结尾都有空格的; 4 * 第三行匹配结尾有空格的 5 * */ 6 private Boolean DetermineChar(String reqData, String respData) { 7 String reg = "@@ ...
分类:
编程语言 时间:
2016-07-05 15:29:33
阅读次数:
191
背景、概述 早在Sql注入横行的前几年,字符串转化为整数就已经被列为每个web程序必备的操作了。web程序将get或post来的id、整数等值强制经过转化函数转化为整数,过滤掉危险字符,尽可能降低系统本身被Sql注入的可能性。 现如今,虽然Sql注入已经逐渐淡出历史舞台,但是,为了保证web程序的正 ...
分类:
其他好文 时间:
2016-06-17 15:34:43
阅读次数:
140
现在有很多防注入程序屏蔽了 and、1=1、1=2 类似这样的关键字,使用这样的方法有时不能探测到注入点了。那么是否有新的方法能够探测注入点呢? 经过一段时间的研究,发现了更好的方法。哈哈,特此共享一下。现在假设有一个新闻页面,URL 是 http://gzkb.goomoo.cn/news.asp ...
分类:
其他好文 时间:
2016-05-14 20:08:05
阅读次数:
164
摘要:随着网络安全技术的发展,SQL注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我们用常规的手段去探测网站的SQL注入漏洞时会被防注入程序阻挡,遇到这种情况我们该怎么办?难道就没有办法了吗?答案是否定的。 随着网 ...
分类:
Web程序 时间:
2016-04-26 07:05:39
阅读次数:
318
路过这个网站,检测了一下.http://www.xxx.cn/Article.asp?ID=117 and 1=1直接返回主页http://www.xxx.cn/Article.asp?ID=117 or 1=1直接返回主页http://www.xxx.cn/Article.asp?ID=117 o ...
分类:
其他好文 时间:
2016-04-18 00:46:24
阅读次数:
159
预编译方式,即PreparedStatement,可以防注入:#{id} <select id="getBlogById" resultType="Blog"parameterType=”int”> select id,title,author,content from blog where id=
分类:
数据库 时间:
2016-03-18 09:26:19
阅读次数:
183
版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明: 可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。 使用方法: 将waf.php传到要包含的文件的目录 在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码就可以做到页面防注入、
分类:
数据库 时间:
2016-03-08 00:15:15
阅读次数:
190
全局都使用dede的防注入函数,这个就留给大家去想办法了。。我们跟踪到duomi\member\member.php}elseif($action=='chgpwdsubmit'){ if(trim($newpwd)trim($newpwd2)) { ShowMsg('两次输入密码不一致','-1....
分类:
数据库 时间:
2016-01-13 12:29:18
阅读次数:
149
PHP addslashes() 函数$str = addslashes('Shanghai is the "biggest" city in China.');echo($str);结果是Shanghai is the \"biggest\" city in China.mysql的mysql_r...
分类:
Web程序 时间:
2015-12-24 20:40:36
阅读次数:
171
没有太多的过滤,主要是针对php和mysql的组合。一般性的防注入,只要使用php的 addslashes 函数就可以了。以下是一段copy来的代码:PHP代码$_POST=sql_injection($_POST);$_GET=sql_injection($_GET);functionsql_in...
分类:
数据库 时间:
2015-12-09 01:49:26
阅读次数:
249
