問題描述：經(jīng)測試發(fā)現(xiàn)，該網(wǎng)站存在查詢頁面，未對輸入數(shù)據(jù)進(jìn)行過濾，導(dǎo)致產(chǎn)生sql注入。

受影響的

受影響參數(shù)：k

驗(yàn)證過程：

請求數(shù)據(jù)包

POST /slist.cshtml HTTP/1.1 Content-Length: 82 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Cookie:ASP.NET_SessionId=wtc4hdfmkdwqratoipuz21ec;VerifyCod

風(fēng)險(xiǎn)程度：【嚴(yán)重】

風(fēng)險(xiǎn)分析：利用該SQL注入漏洞，惡意攻擊者可以獲取數(shù)據(jù)庫內(nèi)的所有數(shù)據(jù)，并且可能獲取數(shù)據(jù)庫所承載的操作系統(tǒng)更多信息，對系統(tǒng)威脅非常嚴(yán)重。

sql注入的解決方法

SQL注入的主要原因是程序沒有嚴(yán)格過濾用戶輸入的數(shù)據(jù)，導(dǎo)致非法數(shù)據(jù)侵入系統(tǒng)。

1) 對用戶輸入的特殊字符進(jìn)行嚴(yán)格過濾，如’、”、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union。

2) 使用參數(shù)化查詢（PreparedStatement），避免將未經(jīng)過濾的輸入直接拼接到SQL查詢語句中。

3) Web應(yīng)用中用于連接數(shù)據(jù)庫的用戶與數(shù)據(jù)庫的系統(tǒng)管理員用戶的權(quán)限有嚴(yán)格的區(qū)分（如不能執(zhí)行drop等），并設(shè)置Web應(yīng)用中用于連接數(shù)據(jù)庫的用戶不允許操作其他數(shù)據(jù)庫。

4) 設(shè)置Web應(yīng)用中用于連接數(shù)據(jù)庫的用戶對Web目錄不允許有寫權(quán)限。使用Web應(yīng)用防火墻。

網(wǎng)站標(biāo)題：防止網(wǎng)站sql數(shù)據(jù)庫注入及解決辦法（參考）
鏈接地址：http://jinyejixie.com/news/80488.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、ChatGPT、App設(shè)計(jì)、關(guān)鍵詞優(yōu)化、網(wǎng)站制作、做網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)