1.mysql_real_escape_string()这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确保在查询这些数据之前,用户提供的输入是干净的。但要注意,你是在连接数据库的前提下使用这个函数。但是现在已经不推荐使用mysql...
分类:
Web程序 时间:
2014-11-17 19:22:17
阅读次数:
205
SQL注入: SQL注入是指在数据库应用程序中用户向应用程序提交的输入数据中包含SQL查询串从而达到某种目的的攻击方式。 当应用程序使用输入内容来动态的创建SQL语句以访问数据库时会发生SQL注入攻击例子: select * from table where name='"+un+"' and .....
分类:
数据库 时间:
2014-11-17 19:03:59
阅读次数:
207
xss定义: xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 XSS 全称“跨站脚本”,是注入攻击的一种。其特点.....
分类:
其他好文 时间:
2014-11-11 18:42:41
阅读次数:
267
在apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能。 commons-lang常用工具类StringEscapeUtils使用 - wjoygz - pauls private zone 1.escape...
分类:
其他好文 时间:
2014-11-06 17:54:59
阅读次数:
212
1.?mysql_real_escape_string()
???????这个函数对于在PHP中防止SQL注入攻击很有帮助,它对特殊的字符,像单引号和双引号,加上了“反斜杠”,确保用户的输入在用它去查询以前已经是安全的了。但你要注意...
分类:
Web程序 时间:
2014-11-04 11:17:54
阅读次数:
224
问题描述: 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:123$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`colum.....
分类:
数据库 时间:
2014-11-03 14:30:14
阅读次数:
264
原理SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据...
分类:
数据库 时间:
2014-11-02 12:10:39
阅读次数:
218
ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。本文主要介...
分类:
数据库 时间:
2014-10-31 20:38:21
阅读次数:
472
转自:http://hi.baidu.com/zh2089/item/819d2373d7834728d7a89c9eHRay注:虽然注入一直在谈,不过真正算得上精通的又能有多少人,一篇盲注的文章,转载过来,方便自己,也希望对大家有帮助之前的博文已经提到过基于时间差的注入攻击,其实利用正则表达式进行...
分类:
数据库 时间:
2014-10-29 18:47:43
阅读次数:
159
命令注入攻击 PHP中可以使用下列5个函数来执行外部的应用程序或函数 system、exec、passthru、shell_exec、“(与shell_exec功能相同) 函数原型 string system(string command, int &return_var) command 要执行....
分类:
Web程序 时间:
2014-10-23 19:15:58
阅读次数:
366