分类

链接

2024 年 11 月
 123
45678910
11121314151617
18192021222324
252627282930  

近期文章

热门标签

新人福利,免费薅羊毛

Mybatis —— 解决单引号带来的sql注入问题

问题 当使用${}写sql时,如果输入的字段中含有单引号,就会发生sql注入,改变原有的sql逻辑,应该如何处理呢? 解决 将单引号,替换为两个单引号即可。 String regexp = "\'"; str.replaceAll(regexp, "\'\'");

JAVA 暂无评论 阅读(425)

[转]SQL注入-攻入Apple ID钓鱼网站实录

原文地址:http:// www.cnblogs.com / mantgh / p / 7442086.html   之前写的一篇利用SQL注入方式攻击钓鱼网站的文章,现在在博客园再分享一下。   下午,朋友发了一条朋友圈,内容大概这样: 大体就是她的iPhone丢了,收到了钓鱼短信,多么熟悉的套路,如下: 还好她比较机智,发现是个钓鱼网站,地址如下: http://www.apple-icloudid.com.cn 当时看到这件事后,想到之前有巨巨顺势搞定钓鱼网站,所以我也想小试牛刀一下,看看能否攻入钓鱼网站后台。 在试了几轮PHP常见后台地址后,比如/admin,/i...

安全 暂无评论 阅读(543)

SQL SERVER性能优化和查询安全性

SQL注入的原理 什么SQL注入 将SQL代码插入到应用程序的输入参数中,之后,SQL代码被传递到数据库执行。从而达到对应用程序的攻击目的。 注入原理 常见攻击方法 检测是否可以注入【检测注入点】 示例:http://192.168.0.1/temp.aspx?id=a or 1=1-- 如果上面语句可以执行说明可以实现注入,则可以   利用系统过程、系统表注入数据库 示例【给系统添加一个用户,黑客可以实现远程登录控制服务器】:http://192.168.0.1/temp.aspx?id=1;exec xp_cmdshell 'net user admin 123456 /add' 绕过程序的限制 示例:程...

SQL Server 暂无评论 阅读(2,705)

从原理上 预防SQL注入

  第一次听说SQL注入攻击的时候还是在2004年(好像得知的比较晚),那是还是在写asp呢。在一次写代码的时候,有同事问我,你的这段代码防注入攻击了吗?什么攻击?这是什么呀。  后来到网上各种找,终于弄明白了是怎么攻击进来的了。注入攻击都是来自于客户端,无论是表单提交、URL传值还是Cookie等,其实原理都是一样的。到了服务器端可以分成三种情况:数字、日期时间、字符串。  说起防止SQL注入攻击,感觉很郁闷,这么多年了大家一直在讨论,也一直在争论,可是到了现在似乎还是没有定论。当不知道注入...

.NET, MySQL, Oracle, SQL Server, SQLite 暂无评论 阅读(2,630)

简单高效防SQL注入

简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性 并非人人是高手,并非人人是神仙,我也有不懂的地方,我也有不注意的技术问题,多交流多学习就是最好的提高方法   其实对与初学者来说,进行的动态的查询语句拼接也不是那么好做的事情,就是做出来了,也未必是经得起考验的足够灵活好用的,未必是能拿得出手可以进行推广的,是否能拿得出就是其中的关键。   今天检查公司的软件项目质量,发现有2个同事写的程序存在SQL注入攻击的漏洞,当然也不能怪罪人家,他们也是刚参加工作1...

.NET, SQL Server 评论(1) 阅读(2,198)