1.sql语句应该考虑哪些安全性?1.防止sql注入,对特殊字符进行转义,过滤或者使用预编译的sql语句绑定变量。2.最小权限原则,特别是不要用root账户,为不同的类型的动作或者组建使用不同的账户。3.当sql运行出错时,不要把数据库返回的错误信息全部显示给用户,以防止泄漏服务器和数据库相关信息。...
分类:
数据库 时间:
2014-12-08 00:44:53
阅读次数:
220
1、 预编译与字符拼接的区别:预编译能防止SQL注入,但不能处理%和_特殊字符。(所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表...
分类:
其他好文 时间:
2014-12-07 21:36:23
阅读次数:
191
面对XSS,我们...
面对CRSF,我们...
面对SQL注入,我们...
...
面对DDOS,我们.......
分类:
其他好文 时间:
2014-12-07 13:51:49
阅读次数:
136
前端安全的话题再次被提及,深航东航系统被攻破,乘客信息泄露并被利用,这类例子比比皆是。在前端江湖中,攻击与防守更像是一场漫无硝烟的战争,悄无声息却无时无刻都在进行。 前端常见漏洞包括XSS、CSRF及界面操作劫持,服务端如SQL注入等。 前端使用的传输协议是http,不经过加密直接传输的。HTML....
分类:
其他好文 时间:
2014-12-06 18:11:36
阅读次数:
159
解决方案是:1、首先在UI录入时,要控制数据的类型和长度、防止SQL注入式攻击,系统提供检测注入式攻击的函数,一旦检测出注入式攻击,该数据即不能提交;2、业务逻辑层控制,通过在方法内部将SQL关键字用一定的方法屏蔽掉,然后检查数据长度,保证提交SQL时,不会有SQL数据库注入式攻击代码;但是这样处理...
分类:
数据库 时间:
2014-12-02 16:34:27
阅读次数:
340
一、简单登录验证(防SQL注入)GetString(序号) 返回某一列的值(当用户不记得列名序号时,可使用GetOrdinal()获取到序号)GetInt32(序号) 针对的是 int 字段,返回int字段的值GetOrdinal("列名") 根据列名得到序号Console.WriteLine("....
分类:
Web程序 时间:
2014-12-01 15:36:38
阅读次数:
227
习科科普贴,如何找到网站的后台作者:小Dの马甲来自:习科论坛 - Silic.Org - BlackBap.Org1, 穷举猜解 现如今可以暴力猜解网站后台登陆地址的软件有很多,从最早的啊D注入工具开始,一直到现在很多常用的工具(通常为SQL注入利用工具)都会带有后台登陆地址猜解的功能。 当然了.....
分类:
Web程序 时间:
2014-12-01 00:38:48
阅读次数:
482
sql注入就是通过sql语句的固定结构可以尝试得到数据库中的某些字段信息,进而会产生不可预知的后果。比如我们的文本框是实现查询某些信息的功能,那么它的sql语句就是select information from *** where ***,那么我们输入的就是对应于information的内容,一旦我们在文本框中输入“ ') delete ** ” ,之后数据库中真正的sql语句就便是select information') delete ** from *** where ***。...
分类:
数据库 时间:
2014-11-30 18:45:00
阅读次数:
190
原文:『安全工具』注入神器SQLMAP Pic by Baidu
0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器 0x 01 注入原理
*******...
分类:
数据库 时间:
2014-11-27 01:32:28
阅读次数:
255
Pic by Baidu0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器0x 01 注入原理****************...
分类:
数据库 时间:
2014-11-26 20:36:16
阅读次数:
276
