近期,菜鸟的网站被SQL语句注入攻击,在网站数据库里用网站帐号建立了一个临时表,且表里列出了D盘文件夹
请问,这是用什么方法进行攻击的;如何解决。
请大家帮帮忙。感谢!
请问,这是用什么方法进行攻击的;如何解决。
请大家帮帮忙。感谢!
解决方案 »
- |zyciis| C#有没有近回浮点数的Math.Ceiling和Math.Floor
- 关于记录访问量的问题,急急急
- 初涉Discuz论坛,请指点如何学习?
- 关于DataGrid添加删除确认对话框的问题
- ----------------请问可以向别的网站的页面的一个TextBox赋值(但是不触发提交按钮事件)吗?----------------------
- 模态窗口巨难问题
- 谁能给我个 ajaxpro 操作json 的列子?(前后台的),分都没了都没人回答啊,求你们了
- 为啥在datagrid的超级链点不了鼠标显示1字而不是手型也点不了链接
- 怎样得出Application[1]的name?
- 网页中“vlaue=出现一大堆的乱码”请问这个如何能去除掉呢?
- 三层架构中如何将得到的数据加入到dropdownlist的items里
- 怎么样在文本框里显示时间,要求是时时更新的。如20:20:20是走动的
可使用存储过程来做,也可以使用UBB进行字符替换,
还可以自己进行简单的替换,
比如查询语句
select * from XXX where user='"+user+"' and pwd='"+pwd+"'
可以改成
select * from XXX where user='"+user.Replace("'","''").Replace("-","")....+"' and pwd='"+pwd.Replace("'","''").Replace("-","")....+"+"'
{
string[] Lawlesses={"=","'"};
if(Lawlesses==null||Lawlesses.Length<=0)return true;
string str_Regex=".*[";
for(int i=0;i< Lawlesses.Length-1;i++)
str_Regex+=Lawlesses[i]+"|";
str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
//
foreach(object arg in args)
{
if(arg is string)//如果是字符串,直接检查
{
if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
return false;
}
else if(arg is ICollection
{
foreach(object obj in (ICollection)arg)
{
if(obj is string)
{
if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
return false;
}
}
}
}
return true;
}
http://dev.csdn.net/article/31/31810.shtm
http://www.enet.com.cn/article/2005/0301/A20050301394234.shtml
http://www.yesky.com/225/1930725.shtml
看不了错误信息,SQL就没发注入了
搞定了一婚介网站的后台
嘿嘿 不过我没有黑它
{
if(Str!=null)
{
Str = Str.Replace(((char)34).ToString(), """);
Str = Str.Replace(((char)39).ToString(), "'");
}
return(Str);
}public static string sqlDecode(string Str)
{
if(Str!=null)
{
Str = Str.Replace(""", ((char)34).ToString());
Str = Str.Replace("'", ((char)39).ToString());
}
return(Str);
}
{
Contents = Regex.Replace(Contents, "exec|insert|select|delete|'|update|chr|mid|master|truncate|char|declare", " ", RegexOptions.IgnoreCase);
return Contents;
}