SQL Injection sårbarheter i nätverket via angrepp, JS script, HTML scripting attacker tycks spela över mer än stark. En efter en av de många webbplatser som plågas av sådana attacker, inte gillade den mottagande sårbarhet kan repareras omedelbart, attacken från webben, så att vi i förebyggande eller reparation som ger en hel del besvär. En webmaster är den mest smärtsamma detta. Hur starkt ditt lösenord till angriparen alltid har funnits, men hur kan vi uppnå verklig trygghet? Första, inte lösenord och länka ditt liv, för det andra Supermaster den HSB bara du vet bäst , för det tredje, absolut nödvändigt att förbättra webbplatsen programmet. Men hur kan vi förbättra, kommer det att vara vårt främsta mål i denna artikel.
Säkerhet, hur man gör säkerheten? Vill ha skydd är nödvändigt att veta hur man attackera varandra. Många artiklar är skrivna för att fånga en viss webbplats i själva verket vägen för deras attacker, men även följande:
1. Enkel scripting attack
Sådana angrepp bör problem det är tråkigt. Till exempel ****: alert (); så, på grund av ett filter är inte i närheten av vad angriparen inte bara tillgänglig, men han kan vara störande för ändamålet. Många webbplatser närvarande kostnadsfri tjänst eller ett program på sin egen webbplats inte är absolut en filtrering problem.
2. Farliga scripting attack
Sådana attacker har varit över till manus kan stjäla en administratör eller annan användare information om omfattningen. Till exempel vet vi alla, stjäla cookies, använd skriptet på den lokala klienten skriva mer.
3. SQL-injektion utnyttjar
Man kan säga att denna attack är att utgå från Dongwangluntan och BBSXP. Filtrering med SQL specialtecken inte är tät, och över databasfrågan attacker. Till exempel:
http://127.0.0.1/forum/showuser.asp?id=999 och 1 = 1
http://127.0.0.1/forum/showuser.asp?id=999 och 1 = 2
http://127.0.0.1/forum/showuser.asp?id=999 och 0 (SELECT COUNT (*) från admin)
http://127.0.0.1/forum/showuser.asp?id=999 ", förklarar @ en sysname uppsättning @ en = 'xp_' +
"Cmdshell" exec @ ett "dir c :'---& stöd = 9
Få administratörslösenord har kontroll: hela stationen behöver inte vara värd för privilegier, utan även för detta steg att göra en hel del föreställning. SQL Injection attacker liknande sätt och innebär många olika fil filtret inte om att lägga ned frågan på olika sätt. Så för att göra en komplett karaktär filter där förfaranden inte nästa ansträngning är omöjligt.
4. Remote injektion Attacks
En sida av den så kallade filtrering endast lämna in ett enkelt formulär sida JS filtrering. För den genomsnittlige användaren, behöver du inte hindra, de överlagda attacken berörs, verkar inte vara en sådan filtrering effekt. Vi säger ofta att POST-attacken är ett exempel. Insänt av fjärrkontrollen angrepp olaglig information för att uppnå syftet.
Genom beskrivningen ovan av attack metoder, vi vanligtvis förstår angriparna sätt, följande beskrivning fokuserar vi på i början, hur effektivt förebygga script attacker!
Så vi börjar från det enklaste:
Mot script attacker
JS skript och HTML-scripting attacker är mycket enkel: Server.HTMLEncode (STR) bin. Klart att du inte gråta, hur skulle det vara? För att ni ger mig till stationen Jag tycker inte om alla tillägg för att filtrera slut? För att underlätta filtrering, vi behöver bara HTML skript och JS skript för att filtrera bort vissa viktiga tecken kan : förfarandet kropp (1) enligt följande:
"Följande är en filterfunktion
"Följande är Applikationsexempel
Användarnamn = CHK (byt ut (begäran (användarnamn "),"'",""))
Inkludera funktion skriven med hjälp av offentliga sidan, så effektiv är den bästa.
Förfarande kropp (1)
Dessutom är det värt vår uppmärksamhet är att många användare av webbplatsen att registrera eller ändra sidan användarinformation är också en brist på manus filtrering, eller bara i ett filter, ändra informationen registreras i post-skriptet kan fortfarande attackera. Uppgifter från en användare att upptäcka och filtrera följer programmet kroppen (2) som:
"Följande är en filterfunktion
Om Instr (begäran (användarnamn "),"=") 0 eller
Instr (begäran ("användarnamn "),"%") 0 eller
Instr (begäran ("användarnamn"), Chr (32)) 0 eller
Instr (begäran ("användarnamn "),"?") 0 eller
Instr (begäran ("användarnamn "),"&") 0 eller
Instr (begäran ("användarnamn "),";") 0 eller
Instr (begäran ("användarnamn "),",") 0 eller
Instr (begäran ("användarnamn "),"'") 0 eller
Instr (begäran ("användarnamn "),"?") 0 eller
Instr (begäran ("användarnamn"), Chr (34)) 0 eller
Instr (begäran ("användarnamn"), Chr (9)) 0 eller
Instr (begäran ("användarnamn"), "") 0 eller
Instr (begäran ("användarnamn "),"$") 0 eller
Instr (begäran ("användarnamn ")," ") 0 eller
Instr (begäran ("användarnamn ")," ") 0 eller
Instr (begäran ("användarnamn "),"""") 0 då
Response.Write "vän, att lämna in ditt användarnamn innehåller otillåtna tecken, ändra, tack för att återvända"
response.end
slut om
Förfarande kroppen (2)
För att ge effektivitet strävar vi efter att ytterligare filtrera innehållet i förfarandena, så filtrering effektiviteten i olika parametrar kommer till stor del höjas såsom program organ (3)
"Efter huvudprogrammet
dunkel Bword (18)
Bword (0 )="?"
Bword (1 )=";"
Bword (2 )=" "
Bword (3 )=" "
Bword (4 )="-"
Bword (5 )="'"
Bword (6 )=""""
Bword (7 )="&"
Bword (8 )="%"
Bword (9 )="$"
Bword (10 )="'"
Bword (11 )=":"
Bword (12 )="|"
Bword (13 )="("
Bword (14 )=")"
Bword (15 )="--"
Bword (16) = "chr (9)"
Bword (17) = "chr (34)"
Bword (18) = "chr (32)"
ERRC = false
"Följande är några exempel på tillämpning
för i = 0 till ubound (Bword)
Om InStr (FQYs, Bword (i)) 0 då
ERRC = sant
slut om
nästa
om ERRC sedan
Response.Write ""
response.end
slut om
Förfarande kropp (3)
Med ovanstående filter funktion som du kan placera i tillämpningen av någon anledning att filtrera filtrera funktion direkt på den. Detta leder oss till att återställa arbetet förenklas avsevärt.
Dessutom mer än jag vill påminna än en gång, vissa webbplatser UBB gör liten smiley konvertering filtrering problem påträffas även då på grund av mycket subtila är inte lätt att hitta:
Såsom:
Vi ändra texten etiketter,
Visste inte att du förstår, innan ett enda anbud och förfaranden som föreskrivs i den vänstra citattecknet citationstecken för det andra och avslutade rätt inom citattecken, så att produktionen process som:
Om bilden inte finns, då taggen aktivera skript onerror genomförande. För apostrof har filtrering platser, som här, komplett med dubbla citattecken. **** För filtrerade fältet och endast alert () också kan. Så vi måste filter för att filtrera helt inte ger angriparen möjlighet att lämna ett spår.
Förhindra SQL Injection utnyttjar
Man kan säga här verkar vara i fokus för hela artikeln. SQL Injection sårbarhet på diversifiering också gör vårt försvar om programmet måste tänka lite mer. SQL Injection i ansiktet av en stark "stötande", vad vi i slutet av filter?
Risken för att vissa vanliga tecken har
"Databasfält skilja stängd
- Markera en del av databasen anteckningar
# Vissa databas anteckning tecken
"Kan leda till misstag,
Cross katalog
3221143836nicode teckenkodning funktioner
$ Kan användas för variabel etikett
/ Och samma
NULL försiktiga "tom" post i risken med behandling kan leda till att databasen eller systemet fel, använda överflöde fel struktur.
Utrymmen och "tillsammans, bygga sql injeciton
= & Om den andra parametern kan skrivas querystr.
(1) från de mest allmänna. SQL Injection Vulnerability attacker tanke: användarnamn och lösenord om filtrering problem, såsom:
Insänt: användarnamn: 'eller''= "användare lösenord:' eller''= '
Från processen kan vi komma till följande databas
Sql = "SELECT backup bin conf config uppgifter eshow_sitemap.html generate.sh logga maint sitemap.html svn lUsers tmp FRÅN där användarnamn =''eller''='' och Lösenord =''eller''=''"
Därför kommer detta, SQL Server returnera alla poster lUsers tabellen, men kommer att leda till ASP script misstas för angripare in en lUsers den första posten i tabellen, vilket gör att angriparen att logga användarens räkning 该webbplats. Verkar för att förhindra denna typ av injektion är mycket enkel:
Använd följande procedur kan uppnås, programmet kroppen (4)
strUsername = Ersätt (Request.Form ("Användarnamn"), "''", "''''")
strPassword = Ersätt (Request.Form ("Lösenord"), "''", "''''")
Förfarande kropp (4)
(2) för att förhindra SQL-injektion attacker, är det första steget att använda en mängd olika säkerhet innebär kontroll från ASP begäran objekt (anmodande, Request.QueryString, Request.Form, Request.Cookies och Request.ServerVariables) användardata, att se till att SQL-kommandot tillförlitlighet. Särskilda skyddsåtgärder varierar beroende på din DBMS.
SQL-injektion attacker kan orsaka skador på miljön beroende av webbplatsens programvara och konfiguration. När webbservern till aktören (dbo) av sin identitet för att komma åt databasen med hjälp av SQL-injektion attack, vilket kan ta bort alla former, skapa nya former och så vidare. När servern till super user (SA) för att öppna identitet databas genom att använda SQL injection attack, som skulle kunna kontrollera hela SQL-servern, i vissa konfigurationer kan en angripare även skapa egna användarkonto att fullt manipulera databasen finns i Windows-servern.
Såsom:
http://127.0.0.1/forum/showuser.asp?id=999 ", förklarar @ en sysname uppsättning @ en = 'xp_' +
"Cmdshell" exec @ ett "dir c :'--& stöd = 9
http://127.0.0.1/forum/showuser.asp?id=999 ", förklarar @ en sysname uppsättning @ en = 'xp" +
"_cm '+' Dshell" exec @ ett "dir c :'--& stöd = 9
Kan även utföra gillar: nät förbrukaren fqy fqy / lägga till den här kommandot. Naturligtvis kräver att du kört den aktuella status måste vara Sa, eller du attackera bara en virtuell värd, jag råda dig att sluta där.
För vissa webbplatser för maskinen att använda port 80 för att förhindra attacker från maskinen direkt för att få administrativa rättigheter, har det blivit nödvändigt. Filter på xp_cmdshell bli det viktigaste, finns många webbplatser med hjälp av förfaranden GET och POST eller GET att lämna uppgifter, blandat, och för detta ger vi ett sätt att undvika SQL-injektion förfarande GET beteende: t.ex. programmet organ (5)
fqys = Request.ServerVariables ("query_string")
dunkel nothis (18)
nothis (0) = "net user"
nothis (1) = "xp_cmdshell"
nothis (2) = "/ add"
nothis (3) = "exec% 20master.dbo.xp_cmdshell"
nothis (4) = "net localgroup administratörer"
nothis (5) = "välj"
nothis (6) = "count"
nothis (7) = "ASC"
nothis (8) = "char"
nothis (9) = "mitten"
nothis (10 )="'"
nothis (11 )=":"
nothis (12 )=""""
nothis (13) = "in"
nothis (14) = "ta bort"
nothis (15) = "drop"
nothis (16) = "trunkera"
nothis (17) = "från"
nothis (18 )="%"
ERRC = false
för i = 0 till ubound (nothis)
Om InStr (FQYs, nothis (i)) 0 då
ERRC = sant
slut om
nästa
om ERRC sedan
Response.Write ""
response.end
slut om
Förfarande kroppen (5)
Jag vill peka uttalande är: Ovanstående förfarande är ett GET-metoden på uppgifter som lämnats av filtret, inte blint gäller.
Liksom andra föremål från ASP begäran (anmodande, Request.QueryString, Request.Form, Request.Cookies och Request.ServerVariables) attack metod för metoder användardata, till stor del koncentrerad i skriptet variabel är det förväntade antalet variabel input (ID ), naturligtvis kan vi inte bara titta på antalet variabler, såsom:
http://127.0.0.1/systembbs/showtopic.asp?tid=99&name=abc "och vänster (userpasswor
d, 1) = 'en
http://127.0.0.1/systembbs/addtopic.asp?tid=99&name=abc "och userpasswor
d = 'eller''='
Dessutom, hur en injektion för att undvika misstag så här?
http://127.0.0.1/systembbs/addtopic.asp?tid=99 "radera forum_forum - & page = 33
Förebyggande program: program kropp (6)
...... Addtopic.asp? Action = lägg ......
...... Addtopic.asp? Action = delect ......
Åtgärd 1 = trim (Request.QueryString ())
om de lämnas (åtgärd 1, 7) "action =" sedan "måste begränsas till action = QueryString
fel (err01) felhantering
annat
action = Request.querystring ("action") 'får värdet av QueryString
slut om
Select Case åtgärder "för att hantera på QueryString
fall "lägg till"
.....
fall "ta bort"
......
Vid annans Om QueryString är inte detta värdet för felhantering
fel (err02)
Därför väljer
Förfarande kropp (6)
En sådan attack inträffar, så att våra webbansvariga har huvudvärk igen, här kan jag ge dig en lösning på det bästa sättet, i allmänhet, användarnamn längd, antal tecken inte överstiger 15 tecken, de flesta av de 14 tecken . Då vi går från längden för att filtrera: Om programmet kropp (7)
Name = ersätta (namn ,"'","")
Om len (namn) 16 sedan
Response.Write "Du gör vad?"
Response.end
Avsluta om
Förfarande kropp (7)
Varför är vi här och filtrering citationstecken, hur det än en gång bör ta en lång gräns? Little sade att se 4ngel artikeln först harrying'restrictions fortsätta injection . Fråga mig inte hur byta till digitalt format, kommer jag inte, hehe ...^_^!
Fortsatte också att återvända till vårt tema, "skriptet förväntade antalet ingående variablerna är den rörliga (ID)". Hur man för in i förebyggande, fan, alldeles för många, det mest direkta är att avgöra om den digitala heltal finns kontrollera några av de mer individanpassad strategi, introducerar vi en efter en, såsom program kropp (8)
För det första avgöra om talet är heltal
p_lngID = CLng (Request ("ID"))
För det andra tror jag detta att ord-längd data längd inte är större än den normala 8-bitars så:
If Len (ID) 8 sedan
Response.Write "sängstolpen"
svar slut
slut om
3 tycker jag är ett mer riskfyllt sätt är att göra en databas fråga, om databasen tabell med samma värde är inte detsamma som det uppstår ett fel.
sql = "SELECT NAMN från kategori där ID =" & ID
SET TEMP = conn.Execute (SQL)
om temp.bof eller temp.eof sedan
Response.Redirect ("index.asp")
annat
cat_name = temp ("namn")
slut om
SET TEMP = ingenting
"Ovanstående är ID för testdata skall följande som det formella undersökningsförfarandet
sql = "SELECT ID T_ID, namn från kategori där ID =" & ID & "ORDER BY xh asc"
rs.open sql, conn, 1,1
Fjärde, jag använde skript data filter, patent, oh ~
id = ersätta (id ,"'","")
If Len (begäran ("id")) 8 sedan "Varför valde han längden av ovannämnda regler har visat
Response.Write ""
response.end
annat
Om begäran ("id ") "" sedan" ta är inte tom är antalet förfaranden för att förhindra null-värden kommer att visas på sidan, och om vi inte här att döma, kommer programmet att kontrollera ett fel.
Om IsNumeric (begäran ("id")) = False sedan "Feng Qingyang ändra ID data övervakningsprogram
Response.Write ""
response.end
slut om
slut om
slut om
Förfarande kropp (8)
Som min programmering vanor, jag gillar alla Datainspektionen som har upprätthållits på hela stationens offentliga program, t.ex. conn.asp fråga, skriv bara hela stationen skulle kunna återställas så snart frågan.
Här nämner jag något om problemet med attacken är att köra användarens lösenord eller användarnamn, som ofta används är
...... / Show.asp? ID = 1 och 0 (SELECT COUNT (*) från admin där id = 3 och vänster (användarnamn, 1) = 'a')
På så sätt en efter en försöker naturligtvis kan vi inte nämna här vad Perl program att köra lösenordet är det program skrivet av någon annan, att känna till principerna i sin egen. Här vill jag bara ge ett bekvämare sätt är att omfattningen av ASC kod. Detta än att köra alone att vara mycket snabbare. huruvida bokstäver, siffror, specialtecken, de alltid har motsvarande ASC kod använder du följande metoder:
...... / Show.asp? ID = 1 och 0 (SELECT COUNT (*) från admin där id = 3 och asc (höger (vänster (användarnamn
e, 3), kan 1)) mellan 1 och 10000) med dig på resten av den allmänna 97 till 122 vara vänner, brev Ja, snart D. Ja, självklart, vill någon att använda funktionen Mid är också bra asc ( mitten (användarnamn, 2,1)) mellan 1 och 10000 har blivit.
Hur mycket effektivare i att förhindra SQL-injektion attacker? Vi specifikt kommer att nämna följande artikel!
Injektion angrepp mot fjärrkontrollen
Sådana attacker i det förflutna bör vara en mer gemensam attack metoder, såsom post attack, kan en angripare enkelt ändra uppgifterna värde som skall lämnas till syfte har varit att attackera. Ett annat exempel: smidda cookies, förtjänar det också programmerare eller station lång ton, inte använder cookies för att göra för användarautentisering metod, eller du och tjuven lämnade nyckeln är av samma skäl.
Till exempel:
Om trim (Request. cookies ("uname "))=" fqy" och Request.Cookies ("upwd")
= "Fqy # e3i5.com" då
........ Mer .........
Avsluta om
Jag vill att du skriver program som webmaster eller vänner inte göra sådana misstag, verkligen är oförlåtligt. Falska Cookies är många år från nu, kan man klandra inte andra personer använder denna för att köra ditt lösenord. Avseende användarlösenordet eller en användare inloggning, är det bara bättre att använda det är det säkraste sessionen. Om du vill använda i din COOKIES Cookies lägga till ett meddelande om, sessionid, som är 64-bitars slumptal, att lösningen gissa är det inte möjligt . Exempel:
om inte (rs.BOF eller rs.eof) sedan
login = "true"
Session ("username" & sessionid) = Användarnamn
Session ("password" & sessionid) = Lösenord
"Response.Cookies (" användarnamn ") = Användarnamn
"Response.Cookies (" Lösenord ") = Lösenord
Låt oss tala om hur man förhindrar avlägsen injektion attacker, attacker är i allmänhet enstaka ark ansökan på den lokala, den form action = "chk.asp" punkt till din server kan behandla datafilen. Om du alla data filtrering i ett enda formulär sida, då Gratulerar, du har blivit attackerade skript.
Hur kan vi förhindra en sådan avlägsen attack? Lätt att hantera, se nedan: förfarande kropp (9)
"Personlig känsla av ovanstående kod filtrering är inte så bra, det finns några yttre och hon var stolt över att lämna in och sedan skriva en.
"Detta är filtret fungerar bra, rekommenderas.
Om InStr (Request.ServerVariables ("HTTP_REFERER"), "http://" & Request.ServerVariables ("host")) 1 så
Response.Write "serverfel vid behandling av URL.
Om du använder alla medel för att attackera servern, bör du vara glad för din server, har alla verksamheter konstaterats, kommer vi att först informera allmänheten Säkerhetsbyrån och den nationella säkerheten avdelning för att utreda ditt IP. "
response.end
slut om
Förfarande kropp (9)
Jag trodde att allting kommer bli bra, i form sida genom att lägga vissa restriktioner, såsom Maxlängd vänner osv .. men Gud är så Buzuo Mei, du allt mer rädd för vad han var. Glöm inte, en angripare kan bryta igenom SQL Injection attack, begränsa längden på textrutan. skriva en SOCKET förfarande för att ändra HTTP_REFERER? kommer jag inte. Online publicerade en artikel:
------------ Len. Reg -----------------
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt förlängas (& E)]
@ = "C: Documents and SettingsAdministrator Desktop len.htm"
"Sammanhang" = dword: 00000004
----------- End ----------------------
----------- Len. Htm ------------------
---------- Slut -----------------------
Användning: första len.reg in i registret (notera sökvägen)
Då len.htm Kaodao plats som anges i registret.
Öppna webbsidan, för markören på rutan ändra längden på det rätt klick för att se mer av en köpoption till höger förlängning
Klicka för att få! Postscript: Samma restriktioner också kan ta itu med de delar av skriptet ingång.
Hur göra? Vår gräns skonades, och alla ansträngningar var förgäves? Inte, höja de tangentbordet, säger nej. Låt oss fortsätta att filtrera tillbaka till skriptet karaktärer, de var något annat än att skriptinmatning attacker. Vi alla använder alla sida energi talan efter den i chk.asp sida kommer vi att filtrera bort alla otillåtna tecken, resultatet? Vi sköt bara fint fram och berättade för dem att ändra registret den, när De kommer att hitta fullständiga ändras, bör de gör det förgäves.
ASP Trojan
Har nämnts här, för att påminna dig en webmaster forum, vara försiktig med din uppladdning: Varför forumet programmet bröts efter en attack med den mottagande också ockupera. Anledningen ...... rätt! ASP Trojan! En absolut avskyvärda sak. Vad virus? Definitivt inte. Filer enkelt in i din forum-programmet, gå och hitta din gamla. Åh nej hematemesis konstigt. Hur man förhindrar ASP Trojan var upp till servern? Metoden är enkel, om ditt forum för att stödja filuppladdning kan du ställa in vilket filformat du vill ladda upp, det gör jag inte använda kan ändra filformatet, direkt från förfarandet låst till bara bilden filformat och komprimerade filer kan vara helt bekväm lämna sitt eget också mer praktiskt att lämna angriparen. Så att döma av form, har jag här en samling, också förändrats en, kan vi titta på: Förfarandet kropp (10)
"Bestäm filtypen är kvalificerad
Privat Funktion CheckFileExt (fileEXT)
dim Forumupload
Forumupload = "gif, jpg, bmp, jpeg"
Forumupload = split (Forumupload ,",")
för i = 0 till ubound (Forumupload)
Om LCase (fileEXT) = LCase (trim (Forumupload (i))) sedan
CheckFileExt = sant
utpassage
annat
CheckFileExt = false
slut om
nästa
End Function
"Kontrollera legitimiteten i handlingen
som minfil = Server.CreateObject ("Scripting.FileSystemObject")
som MyText = MyFile.OpenTextFile (sFile, 1) "läsa en textfil
sTextAll = LCase (MyText.ReadAll): MyText.close
"Bestämma risken för att verksamheten användarens fil
sStr = "8 |. getfolder |. | createfolder. | deletefolder. createdirectory |
. Deletedirectory "
sStr = sStr & "|. SaveAs | wscript.shell | script.encode"
sNoString = split (sStr ,"|")
för i = 1 till sNoString (0)
Om InStr (sTextAll, sNoString (i)) 0 då
sFile = Upl.Path & sFileSave: fs.DeleteFile sFile
Response.Write "
"& SFileSave &" dokument och drift av kataloger som innehåller relevanta beställningar "& _
"
"& Mid (sNoString (i), 2) &", av säkerhetsskäl inte kan ladda upp. "& _
"
"
Response.end
slut om
nästa
Förfarande kropp (10)
Lägg till din ladda upp sina rutiner att göra en validering, då säkerheten i ditt uppladdningsprocessen kommer i hög grad.
Vad? Du inte vara orolig? Out mördare, du leverantör av virtuella hosting-tjänster för att hjälpa den. Logga in till servern, PROG ID i "shell.application" poster och "shell.application.1" objekt bytt namn eller tagits bort. Då "WSCRIPT.SHELL" poster och "WSCRIPT.SHELL.1" Dessa två bör döpas om eller raderas. Åh, jag vågar säga, mer än hälften av Kina får ingen rehabilitering av den virtuella värden. Lyckligtvis kan du mycket samarbetsvilliga användarna, annars ...... jag bort, jag ta bort, ta bort ta bort ta bort min ......
Sammanfattning
Så bättre att förhindra SQL Injection attacker? Här är jag rekommendera flera sätt, dels gratis program egentligen inte har fri tillgång, eftersom du kan dela den ursprungliga koden och sedan den angripare kan analysera samma kod. Om ägare har möjlighet att ändra vad som är bäst databastabell namn, namn på, bara ändra nyckeln admin, användarnamn, lösenord på den, såsom forum_upasswd detta område som kan gissa namnet? Om du gissade, den mest bra köp lotteriet så snabbt, en topputmärkelsen vill du inte vem? Dessutom ligger nyckeln i den allmänna administratören lösenord, samt skyddar din administratör lösenord som är avgörande, minst 10 Antalet bokstavskombinationer. Plus de flesta av platsen programmet kommer nu använda MD5 för att kryptera lösenordet, plus lösenordet robusthet, så säkerheten för din webbplats på ökat kraftigt. Även om det SQL Injection sårbarheten kan en angripare inte omedelbart vinna din webbplats.