快疯了,数据库老是给攻击,急求啊,,,,

每个页面都做了防SQL注入了,还出现这种情况晕死了
SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|‘|copy|format|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare" 
以上是对url的防SQL注入关键字

解决方案 »

  1.   

    就是说,现在有很多现成的攻击网站的工具,它能够帮你很快地查找网站的漏洞,
    不过也不是很完美,结合自己实际,在开始的时候可以用用
    推荐你用个NBSI,网上有下载的
      

  2.   

    ASP.NET 程序不?如果是就用带参数的吧
    --------------------------------
    专业的 .NET 技术社区
    http://forum.entlib.net.cn
      

  3.   

    晕了,这是以前刚学asp时做的站,所以只有首页几个模块用到存储过程,请问下高手们,怎样查看数据库的ldf日志???
      

  4.   

    写到Global.asax里
        private void StartProcessRequest()
        {
            try
            {
                string getkeys = "";
                string sqlErrorPage = "~/ErrorPages/500.aspx";//转向的错误提示页面   
                if (System.Web.HttpContext.Current.Request.QueryString != null)
                {                for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys], "Post"))
                        {
                            System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);
                            System.Web.HttpContext.Current.Response.End();
                        }                }
                }
            }
            catch
            {
                // 错误处理: 处理用户提交信息!   
            }
        }
        private bool ProcessSqlStr(string Str, string bj)
        {
            bool ReturnValue = true;
            string SqlStr = "";
            try
            {
                if (Str.Trim() != "")
                {
                        SqlStr = "'| |and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|script";                string[] anySqlStr = SqlStr.Split('|');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.ToLower().IndexOf(ss) >= 0)
                        {
                            ReturnValue = false;
                            break;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = false;
            }
            return ReturnValue;
        }
      

  5.   

    但我的是 asp 的站楼上的代码我用不上了啊,可惜,不过我也用到了url防sql注入了
    就是不知人家是从哪里进来的
      

  6.   

    各位高手,如何查看ldf数据日志??
      

  7.   

    你的图片是从 数据库自带的 某id参数撒, 在aspx页面发送客户端时进行 +次密就行了。 
      +密 自己定义啊, 比如数字都 +1 * 100
      

  8.   

    先查IIS日志,再去查其它日志...
    一步一步来....
      

  9.   

    mrshelly  你是说在logfiles里的 W3SVC20338438 这些文件夹里的日志吗?我看了,就是有段时间的日志没有
      

  10.   

    有没有用到eWebEditor这个编辑器。
    如果有的话,一般黑客是通过这个编辑器的漏洞上传木马的。
    我这就有一个攻击病毒,是以前有个黑客攻击我服务器时留下的,这病毒可厉害,可以对你的机器做任何操作。
    包括你的数据库等等。
      

  11.   

    如果没有的话,请检查网站程序,那些地方有上传功能的。
    限制上传后缀名为.exe .asp .php .aspx .jsp 的文件。
    检查服务器上传文件夹可疑的文件。
    如果是木马文件,马上删除。