神马文学网关于BS架构系统,防止SQL注入攻击的思路
来源:百度文库 编辑:神马文学网 时间:2024/04/28 11:02:18
BS系统中,传统的注入攻击手段有很多。
最基本的,利用单引号攻击的,很容易解决,用类似于QuotedStr()(实际开发是其他语言,这里用DELPHI中的函数代替)的函数处理参数即可。
但实际应用中,不可避免会有一些应用需要直接传递参数,例如表名、查询条件、排序条件等等
对这些应用的注入攻击防不胜防。
我考虑了一个思路,供大家参考。
1 对所有网页传入的参数分三种。
a) 数字类型,用StrToInt函数处理。
b) 字符串类型,用QuotedStr函数处理。
c) 需要直接传递的参数,这是需要着重考虑的类型。
2 对所有数据库操作主要分五种,不允许程序直接执行SQL语句:
a) select 查询
b) update 更新
c) insert 新增
d) delete 删除
e) exec 执行存储过程
3 对于以上几种数据库操作的所有参数,例如select 操作中的 查询条件、排序条件等,都进行合法性校验:
a) 里面存在 "--" "/*" "*/" 的,都视为非法条件。
b) 将条件拆分为单词,如果存在以下单词:delete insert update exec execute create drop grant的,都视为非法条件。(正常的表名、字段名中不可能有上面这些关键字吧。)
c) 传入的查询条件,校验里面的括号,凡是右括号在左括号前面(不配对)的,都视为非法条件。
d) 传入的查询条件,前后加括号。
经过以上校验,应该基本可以保证参数是正常的参数,供大家参考。同时也希望大家能找出其中的漏洞,我可以进行改进^_^
最基本的,利用单引号攻击的,很容易解决,用类似于QuotedStr()(实际开发是其他语言,这里用DELPHI中的函数代替)的函数处理参数即可。
但实际应用中,不可避免会有一些应用需要直接传递参数,例如表名、查询条件、排序条件等等
对这些应用的注入攻击防不胜防。
我考虑了一个思路,供大家参考。
1 对所有网页传入的参数分三种。
a) 数字类型,用StrToInt函数处理。
b) 字符串类型,用QuotedStr函数处理。
c) 需要直接传递的参数,这是需要着重考虑的类型。
2 对所有数据库操作主要分五种,不允许程序直接执行SQL语句:
a) select 查询
b) update 更新
c) insert 新增
d) delete 删除
e) exec 执行存储过程
3 对于以上几种数据库操作的所有参数,例如select 操作中的 查询条件、排序条件等,都进行合法性校验:
a) 里面存在 "--" "/*" "*/" 的,都视为非法条件。
b) 将条件拆分为单词,如果存在以下单词:delete insert update exec execute create drop grant的,都视为非法条件。(正常的表名、字段名中不可能有上面这些关键字吧。)
c) 传入的查询条件,校验里面的括号,凡是右括号在左括号前面(不配对)的,都视为非法条件。
d) 传入的查询条件,前后加括号。
经过以上校验,应该基本可以保证参数是正常的参数,供大家参考。同时也希望大家能找出其中的漏洞,我可以进行改进^_^
关于BS架构系统,防止SQL注入攻击的思路
SQL 的注入式攻击
六个建议防止SQL注入式攻击|SQL,注入式攻击,injection attack-中国源...
SQL注入攻击
SQL注入攻击
也谈C#.NET防止SQL注入式攻击 - jacky73 - 博客园
PHP与SQL注入攻击[一] - Haohappy的专栏--PHP5研究中心--Linux,Apache,Mysql,PHP,Java
e107内容管理系统SQL注入漏洞
让SQL注入攻击危害最小化三大措施
SQL Injection(SQL注入)介绍及SQL Injection攻击检测工具,sq...
sql 注入
sql注入
ASP.NET网站程序防SQL注入式攻击方法-asp.net
什么是SQL注入法攻击 - 叶帆小筑 - 51Testing软件测试网 51Testing...
关于SQL Server中几个未公布的访问注册表的扩展存储过程--注入类文章
菜鸟SQL注入详解
菜鸟SQL注入详解
实例解析基于SOA的架构思路
关于一个大型web系统架构设计和技术选型的讨论摘录
SQL注入专题--整理帖
SQL指令植入式攻击的危害及其防范措施
防止页面攻击技巧
防止 IP 欺骗攻击:
实例解析基于SOA的架构思路2