例:假设一个账户密码的输入在数据库中是这样进行判断的。 如果输入: 因为 ‘1’=‘1’ 永远返回的是true 所以 这就造成了SQL 的注入漏洞。 解决办法: ①:过滤敏感字符 ②使用参数化 SQL语句(推荐) ...
分类:
数据库 时间:
2016-09-10 19:17:55
阅读次数:
236
XSS诱发原因有很多,很多网站做了各种针对性工作防御XSS,浏览器厂商也做了很大努力。为了防御XSS,很多可能触发XSS的敏感字符会被过滤或转义,而这些转义规则也是各不相同的。不了解这些不同的编码规则,会给我们日常编程造成很大的困惑,本文是阅读《Web前端黑客技术揭秘》后针对各种编码规则写的一篇总结...
分类:
Web程序 时间:
2016-01-18 10:32:35
阅读次数:
184
那为什么出现以上问题呢?这是程序代码层控制不当导致的。如果web前端对输入数据控制严格,会对数据库进行操作的字符串,在客户端做敏感字符转义处理,或者在操作数据库的dao层,使用动态参数的sql,不使用拼接方式的sql,都可以防止该类问题的发生。 一般情况,如果测试人员了解dao层的具体设计,如...
分类:
数据库 时间:
2015-12-02 20:47:13
阅读次数:
255
public static class SensitiveDataUtil { private static string ChangeSubStr(string s, string oldstr, string newstr) { i...
分类:
数据库 时间:
2015-10-16 20:43:28
阅读次数:
248
一、创建CREATEDATABASE库名;
例:createdatabasestudent;如果库名是特殊字符、中文或敏感字符,用‘‘单引号括起来二、查询1.查看当前所有数据库SHOWDATABASES;
例:showdatabases;2.查看数据的创建语句SHOWCREATEDATABSE表名;
例:showcreatedata
分类:
其他好文 时间:
2015-09-09 19:37:16
阅读次数:
132
以前没接触过网页安全方面的内容,正好这次碰巧客户有要求,学习了下,现将方案记录于此。 Sql注入 解决方案: 服务器访问层的控制: 1、在过滤器,针对后缀为jsp、html、htm的访问进行过滤拦截,判断请求参数中是否包含敏感字符 2、在拦截其中,针对后缀为(.do )的Controller访问.....
分类:
数据库 时间:
2015-09-06 17:35:21
阅读次数:
320
xml中的敏感字符是尖括号,如果xml的值中含有尖括号,那么在解析的时候就会报错,如:1<三国<>义4<>5罗贯中
需要先对这些xml文件进行处理。...
分类:
编程语言 时间:
2015-07-01 10:00:56
阅读次数:
184
用Select…like %…%来查找MySQL的text类型字段的一个中文,却发现查出来的是乱的,发现不少人也遇到这样的问题。在中文排序和查找的时候,汉字的结果是错误的。 原因在于MySQL在查找字符串的时候大小写不敏感,字符集默认使用ISO-8859,在转换过程中会出现问题。 有两种方...
分类:
数据库 时间:
2015-06-01 13:06:12
阅读次数:
177
WordNode.h
#ifndef __TOOLS_WORDNODE_H_INCLUDE__
#define __TOOLS_WORDNODE_H_INCLUDE__
#include
class CWordNode
{
typedef std::map umap;
public:
CWordNode(const std::string& word) { Res...
分类:
编程语言 时间:
2015-05-12 21:07:38
阅读次数:
169
1、建立数据模型,(现有数据库表,在建模型)非ORM模式, 也可以使用Code First模式找到实体模型选择在数据库生成下一步,链接数据库,通过Sql方式,输入用户名密码链接测试,选择对应的数据库点击确定选择是,在链接字符串包含敏感字符选择将APP.Config设置另存为更改需要自己的Ef上下文名...
分类:
Web程序 时间:
2015-05-06 12:44:57
阅读次数:
122
