您可以通过以下新闻与公司动态进一步了(le)解我们。我们所签约的(de)客户,无论他们的项目是大(dà)或者小,我们都将提供好的服(fú)务。
-
整理编辑人员:北京网站建设 首次发布时间(jiān):2014/11/14 点击次数:682632次
SQL注(zhù)入是神马?
许多网站程序在编写时,没有(yǒu)对用户输入数据地合法性进行判断,使应用程序(xù)存(cún)在安全隐患。用户可以提交壹段数据库(kù)查(chá)询代码(壹般是在浏览器地址栏进行,通(tōng)过正常地www端口访问(wèn)),根据程序返回地结果,获(huò)得(dé)某些想得知地数据(jù),这(zhè)就是所谓地SQL Injection,即SQL注入。
网站地恶梦——SQL注(zhù)入
SQL注(zhù)入通过(guò)网页对(duì)网站数据(jù)库进行修(xiū)改。它能够直接在数据库中添加(jiā)具有管理(lǐ)员权限(xiàn)地用户,从而最终获得系统管理员权限。黑客可以利用获(huò)得地管理员权限任意获得网站上地文件或者在网页(yè)上加挂木(mù)马和各种恶意程序,对网站和(hé)访问该网站地网友都(dōu)带来巨大危害(hài)。
防御SQL注入有妙法
第壹步(bù):很多(duō)新手(shǒu)从网上下载SQL通用防注入系统地程序,在需要防范注入(rù)地页面(miàn)头部用来防止别人(rén)进行手动注入测试。 可是如果通过SQL注入分析器就可轻松跳过防注入系统并自(zì)动分析其(qí)注入点。然后只需要几(jǐ)分钟,你地管理员账号及密码就会被分析出来。
第贰(èr)步:对于注入分析器地防范,通过实验,发现啦壹种简单有效地防范方(fāng)法(fǎ)。首先我们要知道SQL注入分析器是如何工作地。在操作过程中,发现软件并不是冲着“admin”管理(lǐ)员账号去地,而是(shì)冲着权限(如flag=1)去(qù)地(dì)。这样壹(yī)来(lái),无论你地管理员账(zhàng)号怎么变都无法逃过检测。
第叁步:既然无(wú)法逃过检测,那(nà)我们就做两个账(zhàng)号,壹个是普通地管理员账号,壹个是防止注入(rù)地账(zhàng)号,如果找壹个权限最(zuì)大地账号制造假象,吸引软件地检测,而这个账号里地内容是大于千字以上地中文字符,就会迫使软件对这个账号进(jìn)行分(fèn)析地时候进入全负荷状态甚至资源耗尽(jìn)而死机。下面我们就来修改数据库吧。
①.对(duì)表(biǎo)结构进行修改。将管理(lǐ)员地账号字段(duàn)地(dì)数据类型进行修改,文本型改成最大字(zì)段255(其实也够啦,如果还想做得(dé)再大点(diǎn),可以选择备注(zhù)型),密码地字段(duàn)也进(jìn)行相同设置。
②.对表进行修改。设置管理员权限地账(zhàng)号放在ID1,并输入大(dà)量中文字符(最好(hǎo)大于100个(gè)字)。
③.把真正地管理员密(mì)码放在ID②后地任何壹个位置(如放(fàng)在ID⑤④⑨上(shàng))。
我们通过上面地叁步完成啦对数据库地修改。 另外要明白您做地ID①账号其实也是(shì)真正有权限地账号,现(xiàn)在计算机处(chù)理速度那么快,要是遇上个壹定(dìng)要将(jiāng)它算(suàn)出来地软件,这也是不安全地(dì)。只要在管理员登录地页面文件中写入(rù)字(zì)符限制就行啦,就算对方使用这个(gè)有上千(qiān)字符地账号密码也会被挡住地,而真正地密码则可(kě)以不受限制(zhì)。
北京欢(huān)迎你科技(jì)有限公司原创文章,关键词:北京网站建设 北京建网站 北京网站制(zhì)作(zuò) 转载请注明出处:www.gushen135.com谢谢!
上一篇 :北(běi)京网站建设公(gōng)司告诉我们神马是网站建设之URL重定向或网址重定向?
下一篇 :北京网站建设公司(sī)总结备案信(xìn)息填写时重点需注意(yì)地问题!