注册前先判断用户名是否已经存在,通过if (SqlHelper.Exists(strSql))查询判断是否已经存在。没存在则进行一个数据插入数据库操作 防注入写法 引入:using System.Data;using System.Data.SqlClient; 登陆部分: 注册部分: ...
分类:
数据库 时间:
2016-07-19 13:23:48
阅读次数:
190
一、防sql注入 用户通过输入完整的字符,来和sql语句拼接成带有破坏性的sql语句,服务器执行该语句,造成破坏。 1使用mysql_real_escape_string()过滤数据,该方法在未来版本会淘汰 2、使用PDO预处理语句 二、xss攻击 1、演示 2、用户在表单里输入恶意的代码(主要是j ...
分类:
Web程序 时间:
2016-07-12 10:18:45
阅读次数:
282
——选自《深入Ajax : 架构与最佳实践 = Advanced Ajax : architecture and best practices/ (美)Shawn M.Lauriat著;张过,宋会敏等译》 SQL注入 SQL注入攻击是指利用数据库服务器支持的SQL语法,以开发人员意料之外的方式执行S ...
分类:
数据库 时间:
2016-06-23 22:17:59
阅读次数:
183
1、 实际过滤函数 可适当修改其中的正则表示式 2、调用此函数 过滤参数中的value值 3、调用此函数,过滤参数中的key值 ...
分类:
数据库 时间:
2016-06-21 15:28:52
阅读次数:
217
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法 ...
分类:
其他好文 时间:
2016-05-29 23:00:45
阅读次数:
269
function clean($str){ $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); $str=quotemeta( ...
分类:
数据库 时间:
2016-04-20 20:08:35
阅读次数:
219
PHP MySQL 函数 定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 语法 mysql_rea ...
分类:
数据库 时间:
2016-04-02 22:43:51
阅读次数:
282
首先,创建一个SQLInjectionHelper类完成恶意代码的检查 代码如下: 有此类后即可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjecti
分类:
数据库 时间:
2016-03-23 09:07:12
阅读次数:
239
[PHP];=========PHP核心配置=====================output_buffering=On;可解决UTF8的BOM导致Header不能用的问题short_open_tag=On;开启短标记;magic_quotes_gpc=On;防SQL注入cgi.fix_path...
分类:
Web程序 时间:
2015-11-19 18:22:55
阅读次数:
137
1、新建一个类,实现IHttpModule接口代码如下:public class SqlHttpModule : IHttpModule { public void Dispose() { } public void Init(HttpApplication context) { context.A...
分类:
数据库 时间:
2015-11-05 00:37:23
阅读次数:
224
