防备sql注进式攻击js版本
SQL注进式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方法的攻击 。
动态天生Sql命令时没有对用户输进的数据进行验证是Sql注进攻击得逞的重要原因。
比如:
假如你的查询语句是select * from admin where username=''"&user&"'' and password=''"&pwd&"''" 那么,假如我的用户名是:1'' or ''1''=''1
那么,你的查询语句将会变成:
select * from admin where username=''1 or ''1''=''1'' and password=''"&pwd&"''"
这样你的查询语句就通过了,从而就可以进进你的治理界面。
所以防备的时候需要对用户的输进进行检查。特别式一些特别字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
需要过滤的特别字符及字符串有:
以下为引用的内容:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
''
:
"
insert
delete from
drop table
update
truncate
from
%
下面是我写的两种关于解决注进式攻击的防备代码,供大家学习参考!
js版的防备SQL注进式攻击代码:
以下为引用的内容: