最有名的一種SQL注入入侵工具是NBSI 2.0,現在已經出到2.0版本了,不過,人家正式名稱不叫SQL注入入侵工具,而叫做網站安全漏洞檢測工具。有了這個所謂的檢測工具,使得入侵存在SQL注入漏洞的ASP網站成了小兒科的遊戲.
程序員主要要做兩件事,最重要的一件事,當然是對客戶端提交的變量參數進行仔細地檢測啦。對客戶端提交的變量進行檢查以防止SQL注入,有各種方法,到網上搜索一下,你能獲得許多有益信息。這裏介紹一種現成的方法,別人已經寫好了檢測代碼,拿來用一下,不用自己辛苦啦。那就是"楓葉SQL通用防注入V1.0 ASP版",這是一段對用戶通過網址提交過來的變量參數進行檢查的代碼,發現客戶端提交的參數中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用於SQL注入的常用字符時,立即停止執行ASP並給出警告信息或轉向出錯頁面。大家可以到網上搜索一下,下載這段代碼,存爲一個ASP頁面,如checkSQL.asp,把這個頁面include到每個需要帶參數查詢SQL數據庫ASP頁面中,記住,只要加一行這樣的代碼就行了。
程序員要做的第二件事是給用戶密碼加密啦。比如用MD5加密。MD5是沒有反向算法,不能解密的。人家即使知道經加密後存在數據庫裏的像亂碼一樣的密碼,他也沒辦法知道原始密碼了。不過,人家可以用UPDATE方法用他的密碼代替你的密碼,但這個操作還是有點麻煩,人家可能會怕麻煩而放棄.
http://www.d99net.net/article.asp?id=86
啊D注入工具
程序員主要要做兩件事,最重要的一件事,當然是對客戶端提交的變量參數進行仔細地檢測啦。對客戶端提交的變量進行檢查以防止SQL注入,有各種方法,到網上搜索一下,你能獲得許多有益信息。這裏介紹一種現成的方法,別人已經寫好了檢測代碼,拿來用一下,不用自己辛苦啦。那就是"楓葉SQL通用防注入V1.0 ASP版",這是一段對用戶通過網址提交過來的變量參數進行檢查的代碼,發現客戶端提交的參數中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用於SQL注入的常用字符時,立即停止執行ASP並給出警告信息或轉向出錯頁面。大家可以到網上搜索一下,下載這段代碼,存爲一個ASP頁面,如checkSQL.asp,把這個頁面include到每個需要帶參數查詢SQL數據庫ASP頁面中,記住,只要加一行這樣的代碼就行了。
程序員要做的第二件事是給用戶密碼加密啦。比如用MD5加密。MD5是沒有反向算法,不能解密的。人家即使知道經加密後存在數據庫裏的像亂碼一樣的密碼,他也沒辦法知道原始密碼了。不過,人家可以用UPDATE方法用他的密碼代替你的密碼,但這個操作還是有點麻煩,人家可能會怕麻煩而放棄.
http://www.d99net.net/article.asp?id=86
啊D注入工具
