下面是六大数据库攻击: 1.强力(或非强力)破解弱口令或默认的用户名及口令 2.特权提升 3.利用未用的和不需要的数据库服务和和功能中的漏洞 4.针对未打补丁的数据库漏洞 5.SQL注入 6.窃取备份(未加密)的磁带 下面分别分析一下: 1.对弱口令或默认用户名/口令的破解...
分类:
数据库 时间:
2015-03-04 14:32:37
阅读次数:
325
1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cr...
分类:
Web程序 时间:
2015-03-03 11:28:02
阅读次数:
177
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。
用法就是如下边所示:
String sql="update cz_zj_directpayment dp"+
"set dp.projectid = ? where dp.payid= ?";
...
分类:
数据库 时间:
2015-03-03 10:01:12
阅读次数:
314
Model 层: initialize(); onContruct(); ------- 初始化函数getSource() ------ 返回真正的表名称 columnMap() ------- key对应真正的数据库中字段value对应application中的字段( 极大的防止了sql注入 )....
分类:
其他好文 时间:
2015-03-02 18:57:21
阅读次数:
752
简单的说#{}和${}的区别:$是String 拼接插入的#则是占位符来做处理的,写法比如字符串类型,$需要自己添加''#就不需要添加,对于日志的差别就是$会打印在日志里面,#则显示?
大多数我们都是用#{} 因为可以防止sql注入,但是有时候${}还是很必要的,比如传入tableName,或者fieldName比如Order By id||time 就需要${}传入 #{}就无...
分类:
其他好文 时间:
2015-02-28 00:21:47
阅读次数:
430
QLite采用动态数据类型,当某个值插入到数据库时,SQLite将会检查它的类型,如果该类型与关联的列不匹配,SQLite则会尝试将该值转换成该列的类型,如果不能转换,则该值将作为本身的类型存储,SQLite称这为“弱类型”。但有一个特例,如果是INTEGER PRIMARY KEY,则其他类型不会被转换,会报一个“datatype missmatch”的错误。
SQLite支持NULL、INTE...
分类:
移动开发 时间:
2015-02-27 11:59:44
阅读次数:
165
特别提示:补丁下载地址为:http://download.ecshop.com开头,该地址为ecmall下载站,如果非以http://download.ecshop.com开头,请勿下载,同时请反馈给管理员。1、修复修改任意用户密码 危险级 高2、修复sql注入漏洞 危险级 高3、修复团购页面xss...
分类:
其他好文 时间:
2015-02-25 23:34:47
阅读次数:
169
我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题:为什么要使用PDO而不是mysql_connect?为何PDO能防注入?使用PDO防注入的时候应该特别注意什么?一、为何要优先使用PDO?PHP手册上说得很清楚:Prepared statements an...
分类:
其他好文 时间:
2015-02-24 21:00:14
阅读次数:
144
个人记录一、Web安全验证输入验证防范跨站脚本XSS攻击防止SQL注入图片验证码二、输入验证经典的安全法则:永远不要相信用户提交的数据验证内容:用户名,密码等格式验证长度防止数据库溢出错误邮件,手机,邮编等格式客户端:主要通过JavaScript来验证,过滤用户输入服务器端:检测用户输入的合法性,强...
分类:
Web程序 时间:
2015-02-22 21:52:15
阅读次数:
241
看到很多脚本小子,工具党用啊D,明小子,穿山甲对网站扫来扫去,拿个后台什么的,其实基础是最重要的,今天我来说一下纯手工注入一个站点。目标网址:http://www.******.com/about.asp?id=11.首先确认这里是否存在整型注入,很简单,url后加‘and1=1and1=2,不细说。同时我们还判..
分类:
数据库 时间:
2015-02-20 00:14:58
阅读次数:
221
