仓酷云

标题: MSSQL网页设计提防SQL注进打击的新举措 [打印本页]

作者: 谁可相欹 时间: 2015-1-16 22:34
标题: MSSQL网页设计提防SQL注进打击的新举措
MySQL的海豚标志的名字叫“sakila”，它是由MySQLAB的创始人从用户在“海豚命名”的竞赛中建议的大量的名字表中选出的。获胜的名字是由来自非洲斯威士兰的开源软件开发者AmbroseTwebaze提供。打击
近段工夫因为修正一个ASP程序（有SQL注进毛病），在网上找了良多相干的一些提防举措，都不近人意，以是我将如今网上的一些办法综合改进了一下，写出这个ASP函数，供人人参考。

FunctionSafeRequest(ParaName)
DimParaValue
ParaValue=Request(ParaName)
ifIsNumeric(ParaValue)=Truethen
SafeRequest=ParaValue
exitFunction
elseIfInstr(LCase(ParaValue),"select")>0orInstr(LCase(ParaValue),"insert")>0orInstr(LCase(ParaValue),"deletefrom")>0orInstr(LCase(ParaValue),"count(")>0orInstr(LCase(ParaValue),"droptable")>0orInstr(LCase(ParaValue),"update")>0orInstr(LCase(ParaValue),"truncate")>0orInstr(LCase(ParaValue),"asc(")>0orInstr(LCase(ParaValue),"mid(")>0orInstr(LCase(ParaValue),"char(")>0orInstr(LCase(ParaValue),"xp_cmdshell")>0orInstr(LCase(ParaValue),"execmaster")>0orInstr(LCase(ParaValue),"netlocalgroupadministrators")>0orInstr(LCase(ParaValue),"and")>0orInstr(LCase(ParaValue),"netuser")>0orInstr(LCase(ParaValue),"or")>0then
Response.Write"<scriptlanguage=javascript>"
Response.Write"alert(不法的哀求!);"发明SQL注进打击提醒信息
Response.Write"location.href=http://www.wz114.com/;"发明SQL注进打击转跳网址
Response.Write"<script>"
Response.end
else
SafeRequest=ParaValue
EndIf
Endfunction

利用SafeRequest函数交换你的Request

能够提防一切的SQL注进打击，假如另有甚么成绩请与我接洽

Email:ruixing123@hotmail.com
在JOIN操作中（需要从多个数据表提取数据时），MySQL只有在主键和外键的数据类型相同时才能使用索引。

作者: 再见西城 时间: 2015-1-19 16:35
但换公司用MSSQL2K感觉自己好像根本就不了解MSSQL。什么DTS触发器以前根本没用过。

作者: 因胸联盟 时间: 2015-1-25 13:37
你可以简单地认为适合的就是好，不适合就是不好。

作者: 乐观 时间: 2015-2-2 22:17
以前的DTS轻盈简单。但是现在的SSIS虽然功能强大了很多，但是总是让人感觉太麻烦。看看论坛中询问SSIS的贴子就知道。做的功能太强大了，往往会有很多用户不会用了

作者: 透明 时间: 2015-2-8 13:04
我是一个ERP初学者，对于前台运用基本熟悉，但对于后台SQLServer的运用一点也不懂，特想学习下相关资料。至少懂得一些基本的运用。希望各位能给于建议，小弟再谢过！

作者: 分手快乐 时间: 2015-2-25 15:02
我是新手，正在学习数据库和操作系统，深感理论的泛广，唯有一步一步来，但是又感觉时间不够，收集了很多资料却总是没能认真的看完，希望有一个讨论板块，大家共同解决，共同分享，共同努力

作者: 山那边是海 时间: 2015-3-7 22:44
索引视图2k就有。但是2005对其效率作了一些改进但是schema.viewname的作用域真是太限制了它的应用面。还有一大堆的环境参数和种种限制都让人对它有点却步。

作者: 精灵巫婆 时间: 2015-3-15 16:12
其实可以做一下类比，Oracle等数据库产品老早就支持了java编程，而且提供了java池参数作为用户配置接口。但是现在有哪些系统大批使用了java存储过程？！连Oracle自己的应用都不用为什么？！

作者: 不帅 时间: 2015-3-22 02:10
sqlserver的痛苦之处在于有用文档的匮乏，很多只是表明的东西

欢迎光临仓酷云 (http://ckuyun.com/)