仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 587|回复: 8
打印 上一主题 下一主题

[学习教程] MSSQL网页设计提防SQL注进打击的新举措

[复制链接]
谁可相欹 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:34:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
MySQL的海豚标志的名字叫“sakila”,它是由MySQLAB的创始人从用户在“海豚命名”的竞赛中建议的大量的名字表中选出的。获胜的名字是由来自非洲斯威士兰的开源软件开发者AmbroseTwebaze提供。打击
近段工夫因为修正一个ASP程序(有SQL注进毛病),在网上找了良多相干的一些提防举措,都不近人意,以是我将如今网上的一些办法综合改进了一下,写出这个ASP函数,供人人参考。

FunctionSafeRequest(ParaName)
DimParaValue
ParaValue=Request(ParaName)
ifIsNumeric(ParaValue)=Truethen
SafeRequest=ParaValue
exitFunction
elseIfInstr(LCase(ParaValue),"select")>0orInstr(LCase(ParaValue),"insert")>0orInstr(LCase(ParaValue),"deletefrom")>0orInstr(LCase(ParaValue),"count(")>0orInstr(LCase(ParaValue),"droptable")>0orInstr(LCase(ParaValue),"update")>0orInstr(LCase(ParaValue),"truncate")>0orInstr(LCase(ParaValue),"asc(")>0orInstr(LCase(ParaValue),"mid(")>0orInstr(LCase(ParaValue),"char(")>0orInstr(LCase(ParaValue),"xp_cmdshell")>0orInstr(LCase(ParaValue),"execmaster")>0orInstr(LCase(ParaValue),"netlocalgroupadministrators")>0orInstr(LCase(ParaValue),"and")>0orInstr(LCase(ParaValue),"netuser")>0orInstr(LCase(ParaValue),"or")>0then
Response.Write"<scriptlanguage=javascript>"
Response.Write"alert(不法的哀求!);"发明SQL注进打击提醒信息
Response.Write"location.href=http://www.wz114.com/;"发明SQL注进打击转跳网址
Response.Write"<script>"
Response.end
else
SafeRequest=ParaValue
EndIf
Endfunction

利用SafeRequest函数交换你的Request

能够提防一切的SQL注进打击,假如另有甚么成绩请与我接洽

Email:ruixing123@hotmail.com
在JOIN操作中(需要从多个数据表提取数据时),MySQL只有在主键和外键的数据类型相同时才能使用索引。
再见西城 该用户已被删除
沙发
发表于 2015-1-19 16:35:33 | 只看该作者
但换公司用MSSQL2K感觉自己好像根本就不了解MSSQL。什么DTS触发器以前根本没用过。
因胸联盟 该用户已被删除
板凳
发表于 2015-1-25 13:37:09 | 只看该作者
你可以简单地认为适合的就是好,不适合就是不好。
乐观 该用户已被删除
地板
发表于 2015-2-2 22:17:42 | 只看该作者
以前的DTS轻盈简单。但是现在的SSIS虽然功能强大了很多,但是总是让人感觉太麻烦。看看论坛中询问SSIS的贴子就知道。做的功能太强大了,往往会有很多用户不会用了
透明 该用户已被删除
5#
发表于 2015-2-8 13:04:47 | 只看该作者
我是一个ERP初学者,对于前台运用基本熟悉,但对于后台SQLServer的运用一点也不懂,特想学习下相关资料。至少懂得一些基本的运用。希望各位能给于建议,小弟再谢过!
分手快乐 该用户已被删除
6#
发表于 2015-2-25 15:02:22 | 只看该作者
我是新手,正在学习数据库和操作系统,深感理论的泛广,唯有一步一步来,但是又感觉时间不够,收集了很多资料却总是没能认真的看完,希望有一个讨论板块,大家共同解决,共同分享,共同努力
山那边是海 该用户已被删除
7#
发表于 2015-3-7 22:44:40 | 只看该作者
索引视图2k就有。但是2005对其效率作了一些改进但是schema.viewname的作用域真是太限制了它的应用面。还有一大堆的环境参数和种种限制都让人对它有点却步。
精灵巫婆 该用户已被删除
8#
发表于 2015-3-15 16:12:53 | 只看该作者
其实可以做一下类比,Oracle等数据库产品老早就支持了java编程,而且提供了java池参数作为用户配置接口。但是现在有哪些系统大批使用了java存储过程?!连Oracle自己的应用都不用为什么?!
不帅 该用户已被删除
9#
发表于 2015-3-22 02:10:24 | 只看该作者
sqlserver的痛苦之处在于有用文档的匮乏,很多只是表明的东西
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 04:52

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表