[会员中心]  [发布文章][发布软件]  [中文繁體]

文章·资料  电脑软件  手机软件  网站源码 电脑·手机·网络学习话题娱乐故事 文化·历史国学典籍法律法规 操作系统网络办公·文件音频视频图形图像 硬件·驱动程序行业教学学习编程游戏 安卓苹果鸿蒙 其他 ASPASP.NETJSPPHP HTML·CSS·JavaScript

本 站 搜 索 文章 软件 [选项] 文章类别： [全部]电脑·手机·网络话题故事文化·历史娱乐学习法律·法规国学典籍 搜索选项： 文章编号 文章标题 文章作者 文章来源 相关链接 关键字词 文章标签 文章内容 软件类别： [全部]操作系统网络办公·文件音频视频图形图像行业编程教学学习游戏硬件·驱动程序安卓系统苹果系统鸿蒙系统其他系统HTML·CSS·JavaScriptASPJSPPHPASP.NET 搜索选项： 软件编号 软件名称 软件作者 软件来源 相关链接 关键字词 软件标签 软件简介

发 送 文 章 简单三步走堵死 SQL Server 注入漏洞 〖评论()〗〖留言〗〖收藏〗  收信地址 填写收信人的电子邮箱 邮件主题 填写邮件主题 邮件内容 SQL 注入是什么？ 　　许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问)，根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。 　　网站的恶梦——SQL 注入 　　SQL 注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。 　　防御SQL注入有妙法 　　第一步:很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试。 　　可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。 　　第二步:对于注入分析器的防范，通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限(如flag=1)去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。 　　第三步:既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。 　　1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255(其实也够了，如果还想做得再大点，可以选择备注型)，密码的字段也进行相同设置。 　　2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符(最好大于100个字)。 　　3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。 　　我们通过上面的三步完成了对数据库的修改。 　　另外要明白您做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。只要在管理员登录的页面文件中写入字符限制就行了，就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。<br /><br />文章网址：<a href="https://dangbai.cn/Article.asp?ID=10002701" target="_blank">https://dangbai.cn/Article.asp?ID=10002701</a> 填写邮件内容 发信地址 填写发信人的电子邮箱 邮件签名 填写邮件签名  验证码   填写验证码，单击刷新验证码    程序执行中，请稍候... 发送协议 ·欢迎使用本站在线文章发送系统。 ·不得使用本站在线发送邮件系统发送垃圾邮件、广告邮件。 ·如果收信人地址或其服务器出现错误，可能无法成功发送。 ·如果有什么问题，或者意见建议，请联系［网站管理员］。

当百网   本站使用【啊估文章软件站】网站系统    〖网站管理员留言簿〗