如何有效防止sql injection注入 请问各位坛友,如何有效防止sql injection注入,网上讲的那些普通的过滤字符防注入我已经处理了,现在就想知道如何有效防止sql injection注入,听说转换字符类型可以,希望能得到详解。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 数值的话要经过cint转换,asp而言,其他类似比如cint(select...) 结果肯定是错误的 1.尽量不要在代码中拼接sql语句 1)地址栏参数过滤,每一个都要过滤。同时post的内容也要进行处理。2)数据库用户权限一定要按需分配,且不可试用sa权限用户用于web连接。3)没有特殊操作的话用户权限开放r/w即可,不要dbowner。因为注入后一般是通过cmdshell来执行dos命令提升权限,防止建表和跨库。4)SQL Server端没有太多要注意的,前端处理好吧。5)关闭xp_cmdshell.dll 2005在外配配置里面。2000直接修改文件名。6)用IIS的一些工具或插件来过滤参数,URLScan等。 统计字段元素出现次数,这样写行吗 求解一个方案 我想把记录移到第1000条。怎么写 求sql2005 下载 鸟哥初问+100:关于SQL Server2005使用UDL文件进行数据源连接的问题 高手请帮我解决asp调用存储过程问题 求助SQL列转行以及合计小计问题 将jpeg图片存到数据库,取出后图片增大了几倍。WHY MYSQL 多表查询 关于日期型存储到数据库长度的问题 ◆菜鸟问题:查询重复记录◆ SQL查询语句
比如cint(select...) 结果肯定是错误的
2)数据库用户权限一定要按需分配,且不可试用sa权限用户用于web连接。
3)没有特殊操作的话用户权限开放r/w即可,不要dbowner。因为注入后一般是通过cmdshell来执行dos命令提升权限,防止建表和跨库。
4)SQL Server端没有太多要注意的,前端处理好吧。
5)关闭xp_cmdshell.dll 2005在外配配置里面。2000直接修改文件名。
6)用IIS的一些工具或插件来过滤参数,URLScan等。