SQL Injection sårbarheder på netværket ved hjælp angreb, JS script, HTML scripting angreb ser ud til at spille over mere end stærk. Ene efter den anden af de mange steder er plaget af sådanne angreb, ikke som vært, så du straks kan rette sårbarheder, angreb fra WEB måde, at vi i forbindelse med forebyggelse eller reparation, der bringer en masse besvær. En webmaster er det mest smertefulde dette. Hvor stærk din adgangskode til angriberen har altid været til rådighed, men hvordan kan vi opnå reelle sikkerhed? Første ikke password og link dit liv, for det andet, Supermaster udstationeringsdirektivet kun du kender bedst , for det tredje, det er absolut nødvendigt at forbedre dit websted program. Men hvordan kan vi forbedre, vil det være vores ultimative mål med denne artikel.
Sikkerhed, hvordan du gør sikkerhed? Ønsker beskyttelse er nødvendig for at vide, hvordan man angribe hinanden. Mange artikler er skrevet til at fange et bestemt site, faktisk vejen for deres angreb, men også følgende:
1. Simpel scripting angreb
Sådanne angreb burde problemer det er kedeligt. For eksempel ****: alarm (), og så på grund af et filter ikke er tæt på, hvad hackeren ikke kun tilgængelig, men han kan være forstyrrende til formålet. Mange steder nuværende gratis service, eller et program på deres egen hjemmeside er ikke strengt en filtrering problem.
2. Farlige scripting angreb
Sådanne angreb er blevet overført til scriptet kan stjæle administrator eller anden bruger oplysninger om omfanget. For eksempel vil vi alle kender, stjæle cookies, så brug script på den lokale klient skrive mere.
3. SQL Injection exploits
Det kan siges, at dette angreb er at starte fra Dongwangluntan og BBSXP. Filtrering ved hjælp af SQL specialtegn er ikke stramme, og på tværs af databaseforespørgsel angreb. For eksempel:
http://127.0.0.1/forum/showuser.asp?id=999 og 1 = 1
http://127.0.0.1/forum/showuser.asp?id=999 og 1 = 2
http://127.0.0.1/forum/showuser.asp?id=999 og 0 (SELECT COUNT (*) fra admin)
http://127.0.0.1/forum/showuser.asp?id=999 «erklærer @ en sysname sæt @ a =" xp_ '+
»Cmdshell 'exec @ en» dir c :'---& støtte = 9
Få administrator password har kontrol: hele stationen ikke behøver at være vært for privilegier, men også for dette skridt til at gøre en masse forløberen. SQL Injection angreb ligner måder og midler mange forskellige fil filter er ikke truffet for at lukke forespørgslen på forskellige måder. Så for at gøre en komplet karakter filter, hvor procedurer er ikke den næste indsats er umulig.
4. Remote Injection Angreb
Et websted af den såkaldte filtrering kun indgive en simpel formular side JS filtrering. For den gennemsnitlige bruger, skal du ikke forhindre, af den overlagte angreb vedkommende synes ikke at være sådan en filtrering virkning. Vi siger ofte, at det POST angreb er et eksempel. Skrevet af fjernbetjeningen angreb ulovlige oplysninger for at opnå formålet.
Gennem ovenstående beskrivelse af angreb metoder vi generelt forstå angribere måde, følgende beskrivelse fokuserer vi på begyndelsen, hvordan man effektivt forhindre script angreb!
Så vi starter fra den enkleste:
På script angreb
JS scripts og HTML scripting angreb forebyggelse er meget enkel: Server.HTMLEncode (Str.) bin. Selvfølgelig kan du ikke græde, hvordan kan det være? Du kan lide mig til stationen jeg endnu ikke udtømt alle tilføje filter? For at lette filtreringen, vi behøver kun at HTML scripts og JS scripts til at bortfiltrere nogle af de vigtigste tegn kan være : den procedure kroppen (1) som følger:
»Følgende er et filter funktion
»Følgende er applikationseksempler
Brugernavn = CHK (erstat (anmodning ("brugernavn "),"'",""))
Medtag funktionen skrevet med offentlige side, så effektivitet er den bedste.
Procedure krop (1)
Desuden er det værd at vores opmærksomhed er, at mange site brugerne til at registrere eller ændre brugeroplysninger side er også en mangel på script-filtrering, eller kun i en filter, ændre de oplysninger, der er registreret i post-script kan stadig angribe. Data indsendt af en bruger til at opdage og filter, programmet krop (2) som følger:
»Følgende er et filter funktion
Hvis instr (anmodning ("brugernavn "),"=") 0 eller
Instr (anmodning ("brugernavn "),"%") 0 eller
Instr (anmodning ("brugernavn"), chr (32)) 0 eller
Instr (anmodning ("brugernavn "),"?") 0 eller
Instr (anmodning ("brugernavn "),"&") 0 eller
Instr (anmodning ("brugernavn "),";") 0 eller
Instr (anmodning ("brugernavn "),",") 0 eller
Instr (anmodning ("brugernavn "),"'") 0 eller
Instr (anmodning ("brugernavn "),"?") 0 eller
Instr (anmodning ("brugernavn"), Chr (34)) 0 eller
Instr (anmodning ("brugernavn"), chr (9)) 0 eller
Instr (anmodning ("brugernavn"), "") 0 eller
Instr (anmodning ("brugernavn "),"$") 0 eller
Instr (anmodning ("brugernavn ")," ") 0 eller
Instr (anmodning ("brugernavn ")," ") 0 eller
Instr (anmodning ("brugernavn "),"""") 0 derefter
Response.Write "ven, at indsende dit brugernavn indeholder ugyldige tegn, ændre, tak for at vende tilbage"
response.end
end if
Procedure krop (2)
For at give den effektivitet, vi søger til yderligere filtrere indholdet af procedurer, så filtreringseffektivitet af flere parametre vil blive meget større: f.eks program organ (3)
»Efter den vigtigste program
dim Bword (18)
Bword (0 )="?"
Bword (1 )=";"
Bword (2 )=" "
Bword (3 )=" "
Bword (4 )="-"
Bword (5 )="'"
Bword (6 )=""""
Bword (7 )="&"
Bword (8 )="%"
Bword (9 )="$"
Bword (10 )="'"
Bword (11 )=":"
Bword (12 )="|"
Bword (13 )="("
Bword (14 )=")"
Bword (15 )="--"
Bword (16) = "chr (9)"
Bword (17) = "chr (34)"
Bword (18) = "chr (32)"
ERRC = false
»Følgende er eksempler på nogle Application
for i = 0 til ubound (Bword)
hvis instr (FQYs, Bword (i)) 0 så
ERRC = true
end if
næste
hvis ERRC derefter
Response.Write ""
response.end
end if
Procedure organ (3)
Med ovennævnte filter funktion, som du kan placere i anvendelsen af eventuelle behov for at filtrere filter funktion direkte på. Dette bringer os til at genoprette arbejde meget forenklet.
Hertil kommer, at mere end jeg vil gerne minde igen vil et lille antal lokaliteter i løbet udtryk for UBB ikon vises, når filteret transformation spørgsmål, da det var skjult er ikke let at finde:
Såsom:
Vi ændre teksten etiketter,
Vidste ikke du forstår, før en enkelt citat og procedurer i den venstre anførselstegn, brugt enkelte anførselstegn i den anden og lukkede den rigtige anførselstegn, så output processen som:
Hvis billedet ikke eksisterer, så tag vil aktivere onerror gennemførelsen script. For det indre citater er filtrering af sider, som her, komplet med dobbelt anførselstegn. **** For filtrerede felt, eneste og alarm () også kan. Så vi skal filter til at filtrere helt, ikke giver angriberen mulighed for at forlade et spor.
Undgå SQL Injection exploits
Det kan siges her synes at være i fokus i hele artiklen. SQL Injection sårbarheden om diversificering gør også vores forsvar på programmet skulle tænke lidt mere. SQL Injection i ansigtet af en stærk "offensiv", hvad vi i slutningen af filter?
Risikoen for nogle fælles tegn
»Database felter skelne lukket
- Mark nogle af databasen annotation
# Nogle database annotation tegn
"Kan føre til fejl,
Cross bibliotek
3221143836nicode tegnsæt funktioner
$ Kan bruges til variabel label
/ Og den samme
NULL forsigtig "tom" indrejse i risikoen for behandling kan føre til database eller systemfejl, skal du bruge fejl struktur overflow.
Mellemrum og 'sammen, konstruere sql injeciton
= & Hvis den anden parameter kan skrives querystr.
(1) fra de mest almindelige. SQL Injection udnytter opfattelse: brugernavn og adgangskode på den filtrering problemer, såsom:
Forelagt: brugernavn: 'eller''=' bruger password: 'eller''='
Fra den proces, kan vi komme til, følgende database
Sql = "SELECT backup bin conf config data eshow_sitemap.html generate.sh log maint sitemap.html svn tmp FRA lUsers WHERE Brugernavn =''eller''='' og Password =''eller''=''"
På denne måde, så vil SQL server returnere alle poster lUsers tabellen, mens ASP script vil være forkert at angriberen input linje lUsers den første post i tabellen, så angriberen til brugeren loginnavn website. Synes at forhindre denne form for injektion er meget enkel:
Brug følgende procedure kan opnås, programmet krop (4)
strUsername = Udskift (Request.Form ("Brugernavn"), "''", "''''")
strPassword = Udskift (Request.Form ("Password"), "''", "''''")
Procedure krop (4)
(2) at forhindre SQL-injektion angreb, det første skridt er at bruge en bred vifte af sikkerhed betyder kontrol fra ASP anmodning objekt (Reques, Request.QueryString, Request.Form, Request.Cookies, og Request.ServerVariables) brugerinput, at sikre, at SQL-kommando pålidelighed. Særlige sikkerhedsforanstaltninger variere afhængigt af dit DBMS.
SQL-injektion angreb kan forårsage skade på miljøet afhænger af webstedets software og konfiguration. Når webserveren til operatøren (DBO) i identitet at få adgang til databasen ved hjælp af SQL-injektion angreb, som kunne fjerne alle de former, skaber nye former, og så videre. Når serveren til superbruger (sa) for at få adgang til identiteten database med SQL-injektion angreb kan kontrollere SQL-serveren; i nogle konfigurationer kan en hacker også oprette din egen brugerkonto for fuldt ud at manipulere den database, hvor Windows 服务器.
Såsom:
http://127.0.0.1/forum/showuser.asp?id=999 «erklærer @ en sysname sæt @ a =" xp_ '+
»Cmdshell 'exec @ en» dir c :'--& støtte = 9
http://127.0.0.1/forum/showuser.asp?id=999 «erklærer @ en sysname sæt @ a = 'xp' +
»_cm '+' Dshell 'exec @ en» dir c :'--& støtte = 9
Kan selv udføre lide: netto bruger fqy fqy / indsætte denne kommando. Selvfølgelig er dette kræver, at du kører den aktuelle status skal Sa, eller du angriber kun en virtuel vært, jeg råde dig til at stoppe der.
For nogle websteder for maskinen til at bruge port 80 til at forhindre angreb fra maskinen direkte til at få administrative rettigheder, er det blevet vigtigt. Filter på xp_cmdshell at være den primære, er mange steder ved de procedurer, GET og POST eller GET for at sende data, blandet, og til dette, giver vi en metode til at forebygge SQL injektion procedure GET adfærd: såsom program krop (5)
fqys = Request.ServerVariables ("query_string")
dim nothis (18)
nothis (0) = "net user"
nothis (1) = "xp_cmdshell"
nothis (2) = "/ tilføj"
nothis (3) = "exec% 20master.dbo.xp_cmdshell"
nothis (4) = "netto localgroup administratorer"
nothis (5) = "vælg"
nothis (6) = "tæller"
nothis (7) = "asc"
nothis (8) = "char"
nothis (9) = "midten"
nothis (10 )="'"
nothis (11 )=":"
nothis (12 )=""""
nothis (13) = "indsættes"
nothis (14) = "delete"
nothis (15) = "drop"
nothis (16) = "trunkere"
nothis (17) = "fra"
nothis (18 )="%"
ERRC = false
for i = 0 til ubound (nothis)
hvis instr (FQYs, nothis (i)) 0 så
ERRC = true
end if
næste
hvis ERRC derefter
Response.Write ""
response.end
end if
Procedure krop (5)
Jeg vil pege redegørelsen er: Ovenstående procedure er en GET-metoden på data fra de filter, ikke blindt anvendelse.
Ligesom andre objekter fra ASP anmodning (Reques, Request.QueryString, Request.Form, Request.Cookies, og Request.ServerVariables) angreb metode bruger input-metoder, i vid udstrækning koncentreret i scriptet variabel er det forventede antal variable input (ID ), naturligvis kan vi ikke bare se på antallet variabler, såsom:
http://127.0.0.1/systembbs/showtopic.asp?tid=99&name=abc 'og venstre (userpasswor
d, 1) = »en
http://127.0.0.1/systembbs/addtopic.asp?tid=99&name=abc 'og userpasswor
d = 'eller''='
Desuden, hvordan en enkelt injektion for at undgå fejl som denne
http://127.0.0.1/systembbs/addtopic.asp?tid=99 '; slette forum_forum - & side = 33
Forebyggelse program: programmet krop (6)
...... Addtopic.asp? Action = tilføje ......
...... Addtopic.asp? Action = delect ......
Action1 = trim (Request.QueryString ())
hvis venstre (action1, 7) "action =" derefter "skal være begrænset til action = QueryString
fejl (err01) «fejlhåndtering
andet
action = Request.QueryString ("action") 'får værdien af QueryString
end if
vælg sag handling 'for at håndtere på QueryString
tilfælde "tilføj"
.....
tilfælde "delete"
......
tilfælde ellers »Hvis QueryString ikke er denne værdi for fejlhåndtering
fejl (err02)
ende vælge
Procedure krop (6)
Et sådant angreb finder sted, således at vores webmastere har hovedpine igen, her kan jeg give dig en løsning på den bedste måde, i almindelighed, brugernavnet længde, antal tegn ikke overstiger 15 tegn, de fleste af de 14 tegn . Så vi går fra længden til at filtrere: Hvis programmet krop (7)
Navn = erstatte (navn ,"'","")
Hvis len (navn) 16 så
Response.write "Du gør hvad?"
Response.end
End hvis
Procedure krop (7)
Hvorfor er vi her og filtrering de enkelte anførselstegn, hvordan skal det atter tage en længde grænse? Little siges at se 4ngel artikel blev første gang harrying'restrictions fortsætte injection . Spørg ikke mig, hvordan skifte til digitalt format, vil jeg ikke, hehe ...^_^!
Fortsatte også med at vende tilbage til vores tema, "scriptet forventede antal input variabler, er den variable (ID)". Sådan befordrer til forebyggelse, damn, alt for mange, den mest direkte er at afgøre, om den digitale heltal, der kontrollere nogle af de mere personlige tilgang, vi indføre én efter én, såsom: program krop (8)
For det første afgøre, om antallet er heltal
p_lngID = CLng (Request ("ID"))
For det andet mener jeg, dette punkt for at tage ordet længde datalængde er ikke større end den normale 8-bit så:
Hvis len (ID) 8 derefter
Response.Write "sengefjæl"
svar herpå
end if
3 Jeg tror, det er en mere risikabel måde at gennemføre en database forespørgsel, hvis databasen bordet med den samme værdi ikke er det samme som den returnerer en fejl.
sql = "SELECT NAVN FRA Kategori hvor ID =" & id
sæt temp = conn.Execute (SQL)
hvis temp.bof eller temp.eof derefter
Response.Redirect ("index.asp")
andet
cat_name = temp ("navn")
end if
sæt temp = intet
»Ovenstående er ID for testdata, således er den formelle undersøgelse
sql = "SELECT ID T_ID, navn fra kategori, hvor ID =" & ID & "ORDER BY xh asc"
rs.open sql, Conn, 1,1
For det fjerde brugte jeg data filter scripts, patenter, oh ~
id = erstatte (id ,"'","")
Hvis len (anmodning ("id")) 8 derefter på 'Hvorfor valgte han længden af ovennævnte procedurer har vist
Response.Write ""
response.end
andet
Hvis anmodning ("id ") "" derefter 'tage, er ikke tom er antallet af procedurer til at forhindre null værdier vises på siden, og hvis vi ikke her for at dømme, vil programmet kontrollere en fejl.
Hvis IsNumeric (anmodning ("id")) = False derefter på 'Feng Qingyang ændre ID data overvågningsprogrammer
Response.Write ""
response.end
end if
end if
end if
Procedure krop (8)
Som min programmering vaner, jeg gerne alle data kontrolprocedurerne blev opretholdt for hele stationens offentlige programmer, såsom: conn.asp spørgsmål, bare skriv det hele stationen kunne genoprettes, når problemet.
Her vil jeg nævne noget om problemet med angreb er at køre den bruger password eller brugernavn, der almindeligvis anvendes er
...... / Show.asp? Id = 1 og 0 (SELECT COUNT (*) fra admin, hvor id = 3 og venstre (brugernavn, 1) = 'a')
Denne måde man efter en prøve, selvfølgelig kan vi ikke nævne her, hvad Perl program til at køre den password, er programmet skrevet af en anden person, at kende principperne i deres egen. Her vil jeg blot give en mere bekvem måde er at tage omfanget af ASC-kode. Dette end running alene at være langt hurtigere. om bogstaver, tal, tegn, specialtegn, de altid har den tilsvarende ASC-kode, skal du bruge følgende metoder:
...... / Show.asp? Id = 1 og 0 (SELECT COUNT (*) fra admin, hvor id = 3 og asc (højre (venstre (brugernavn
e, 3), kan 1)) mellem 1 og 10000) med dig på resten af den generelle 97 til 122 være venner, breve Nå, snart D. Åh, selvfølgelig, nogen ønsker at bruge midten funktion er også god asc ( midten (brugernavn, 2,1)) mellem 1 og 10000 er blevet.
Hvor meget mere effektivt at forhindre SQL-injektion angreb? Vi vil specifikt nævnes følgende artikel!
Injection angreb mod fjernbetjening
Sådanne angreb i de seneste bør blive en mere almindelig angreb metoder såsom POST angreb, kan en hacker foretage en tilfældig ændring at indsende data værdien er at angribe formål. Et andet eksempel: Cookies er falsk, dette punkt fortjener større Cheng Xu forfattere eller station lang note, skal du ikke bruge cookies for at gøre for brugergodkendelse metode, eller du og tyven forlod nøglen er den samme grund.
For eksempel:
Hvis trim (Request. cookies ("uname "))=" fqy" og Request.Cookies ("upwd")
= "Fqy # e3i5.com" og derefter
........ Mere .........
End hvis
Jeg vil gerne have, at skrive programmer som webmaster eller venner ikke gør sådanne fejl, virkelig er utilgivelig. Falske COOKIES er mange år fra nu, kan du ikke bebrejde andre mennesker bruge dette til at køre din adgangskode. Vedrørende brugerens password eller en bruger login, du må hellere bruge det er den mest sikker session. Hvis du ønsker at anvende cookies Cookies i dine oplysninger om at tilføje en ekstra, sessionid, som er 64-bit tilfældig værdi, at den løsning tror det ikke er muligt . Eksempel:
hvis ikke (rs.BOF eller rs.eof) og derefter
login = "true"
Session ("brugernavn" & sessionid) = Brugernavn
Session ("password" & sessionid) = Password
»Response.Cookies (" brugernavn ") = Brugernavn
»Response.Cookies (" Password ") = Password
Lad os tale om hvordan man kan forhindre fjerntliggende injektion angreb, angreb er generelt single-ark arkivering på den lokale, form action = "chk.asp" peger på din server kan behandle data fil. Hvis du alle data filtrering i et enkelt form side, så tillykke, du skal script angreb.
Hvordan kan vi stoppe en sådan fjernbetjening angreb? Nem at håndtere, se koden nedenfor: procedure krop (9)
»Personligt følelse af ovenstående kode filtrering er ikke særlig god, der er nogle eksterne, og hun var stolt af at indsende i og derefter skrive en.
'Dette er filteret fungerer godt, anbefales.
hvis instr (Request.ServerVariables ("HTTP_REFERER"), "http://" & Request.ServerVariables ("host")) 1 og derefter
Response.Write "server fejl ved behandlingen af URL.
Hvis du bruger alle midler til at angribe server, skal du være glad, for din server, har all operations blevet registreret, vil vi først inform det offentlige sikkerhedskontor og nationale sikkerhed department til at undersøge din IP. "
response.end
end if
Procedure krop (9)
Jeg troede, at alt vil være fint, i form side ved at tilføje nogle begrænsninger, såsom Maks. længde venner, osv. .. men Gud er så Buzuo Mei du stadig mere bange for, hvad han var. Glem ikke, en hacker kan bryde igennem sql injection angreb, begrænse længden af input feltet. skrive en SOCKET procedure for at ændre HTTP_REFERER? jeg vil ikke. Online offentliggjort en artikel:
------------ Len. Reg -----------------
Windows Registry Editor Version 5,00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt udvidet (& E)]
@ = "C: Documents and SettingsAdministrator Desktop len.htm"
"Contexts" = dword: 00000004
----------- End ----------------------
----------- Len. HTM ------------------
---------- End -----------------------
Usage: første len.reg i registreringsdatabasen (bemærk filsti)
Og så at kopiere det til len.htm sted angivet i registreringsdatabasen.
Åbn websiden, at markøren på input feltet ændre længden af retten klik for at se mere af en call option til højre udvidelse
Klik for at få! Postscript: De samme begrænsninger også kan beskæftige sig med de dele af scriptet input.
Hvordan? Vores grænse blev skånet, og alle bestræbelser var forgæves? Ikke, hæve din de tastaturet, sige nej. Lad os fortsætte med at filtrere det tilbage til scriptet karakterer, de var noget mere end at script injektion angreb. Vi bruger alle al den energi ACTION side, efter den i chk.asp side, vil vi bortfiltrere alle ugyldige tegn, der er resultatet? Vi har kun skudt finte foran og fortalte dem at ændre registreringsdatabasen det, når De vil finde komplette ændring, gør de så forgæves.
ASP Trojan
Har været nævnt her, og derefter minde ejere et forum, skal du passe på din fil uploads: Hvorfor Forum program blev brudt, efter at værten har efterfølgende besat af angriberen. Grunden ...... ret! ASP Trojan! En absolut afskyeligt ting. Hvad virus? Bestemt ikke. Filer nemt i dit forum program, gå finde din gamle. Åh nej Hæmatemesis mærkeligt. Hvordan undgår jeg at ASP Trojan blev uploadet til serveren? Metoden er enkel, hvis dit forum til at støtte fil upload, kan du angive det filformat, du ønsker at uploade, jeg ikke bruge kan ændre filformatet, direkte fra proceduren låst, kun billedfilen format, og komprimerede filer kan være helt nemmere at forlade deres egne også mere bekvemt at forlade angriberen. Sådan dømme format, jeg har her en samling, også ændret en, kan vi se på: Proceduren krop (10)
»Bestem filtypen er kvalificeret
Private Function CheckFileExt (fileEXT)
dim Forumupload
Forumupload = "gif, jpg, bmp, jpeg"
Forumupload = split (Forumupload ,",")
for i = 0 til ubound (Forumupload)
hvis lcase (fileEXT) = lcase (trim (Forumupload (i))) så
CheckFileExt = true
exit Funktion
andet
CheckFileExt = false
end if
næste
End Function
'Bekræft legitimiteten af dokument
sæt myfile = Server.CreateObject ("Scripting.FileSystemObject")
sæt MyText = MyFile.OpenTextFile ($ file, 1) 'læse en tekstfil
sTextAll = lcase (MyText.ReadAll): MyText.close
»Bestem risiko for brugeren filhandlinger
sStr = "8 |. getfolder |. createfolder |. Sletmappe |. createdirectory |
. Deletedirectory "
sStr = sStr & "|. SaveAs | WScript.Shell | script.encode"
sNoString = split (sStr ,"|")
for i = 1 til sNoString (0)
hvis instr (sTextAll, sNoString (i)) 0 så
$ file = Upl.Path & sFileSave: fs.DeleteFile $ file
Response.write "
"& SFileSave &" dokumenter og drift af biblioteker, der indeholder de relevante ordrer "& _
"
"& Mid (sNoString (i), 2) &", af sikkerhedsmæssige årsager ikke kan uploade. "& _
"
"
Response.end
end if
næste
Procedure krop (10)
Tilføj til din uploade deres procedurer i forbindelse en validering, så sikkerheden for din upload-processen vil være langt større.
Hvad? Du skal ikke bekymre dig? Out killer, så spørg din hosting udbyder til at hjælpe dem. Login til serveren, PROG ID i "shell.application" punkter og "shell.application.1" omdøbt punkt eller slettet. Så "WScript.Shell" genstande og "WSCRIPT.SHELL.1" Disse to bør omdøbes eller slettes. Åh, jeg tør sige, mere end halvdelen af Kina kan ikke rehabilitering af den virtuelle vært. Heldigvis kan du meget samarbejdsvillige brugere, ellers ...... jeg slette, jeg sletter, slette slette slette min ......
Resumé
Hvordan bedre at forebygge SQL Injection angreb? Her er jeg til at anbefale flere måder, dels gratis programmer egentlig ikke har fri brug, da du kan dele den oprindelige kode, så angriberen kan analysere den samme kode. Hvis ejerne har mulighed for at ændre, hvad der er bedst database tabelnavne feltnavne, kun ændre de centrale admin, brugernavn, password på den, som forum_upasswd dette område, der kan gætte navnet? Hvis du gættet, den mest godt køb lotteri det hurtigt, en top pris vil du ikke så hvem? Hertil kommer, at nøglen ligger i den generelle websted administrator's password, samt beskytte din administrator adgangskode, der er afgørende, mindst 10 antallet af bogstavkombinationer. Et andet plus er, at de fleste lokaliteter vil bruge MD5 at kryptere program brugeradgangskoden, plus dit password robusthed, så sikkerheden for dit websted på øget betydeligt. Hvis der er en SQL Injection sårbarheden kan en hacker ikke vinde du webstedet med det samme.