首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 网站开发 > asp.net >

【100分】关于Sql2005被注入的有关问题,怎么防范

2012-01-28 
【100分】关于Sql2005被注入的问题,如何防范?最近网站经常被注入,数据库中的所有表的字符型字段都被加上“sc

【100分】关于Sql2005被注入的问题,如何防范?
最近网站经常被注入,数据库中的所有表的字符型字段都被加上“<script>....”,从网上查了资料,在Global.asax里也加入了防止一些“insert,update”的语句提交,并且发现时记入了我自己的日志文件,我做了测试,输入“insert”和“update”被成功的拦截,我以为可以防止注入了,今天早上一看,网站又被注入,日志文件根本没有记录到。
把程序中的所有代码都改成存储过程已经不现实了,太多了,还有没有什么能从根本上解决的办法?
删除库里的字段内容不太可能,频繁的备份还原数据库也不是长久之计。有什么办法能够看到是什么IP发出的这种攻击,用什么方式能拦截这些呢?还有从哪里能看IIS的日志?

我的数据库sql server 2005 站点就是Asp.net C#2.0开发的。IIS6, windows server2003

谢谢大家,分数不够再加!

[解决办法]
看精华帖:
http://topic.csdn.net/u/20090729/14/26381958-0d6e-4b90-bc90-d275e9621f93.html
[解决办法]
在一些带参数的的地方如id=100,在这些地方接受参数的时候用convert,一旦转换错误就去Error.aspx页面。、
攻击者看不到数据的信息。这样应该好些。
[解决办法]
1,检查你的服务器环境,包括数据库是否有莫名用户
2,对你的应用进行检查,尤其是上传文件,最好能用干净的源文件替换,上传文件杀毒,有可能逐个检查
然后对代码进行检查,对输入参数过滤,检查跨域漏洞,查询用参数化查询等
然后重编译继续步骤1,2
[解决办法]
一个传统的防止 SQL 注入攻击的方法是针对输入进行验证,要么只接受白名单
中的安全字符,要么鉴别和排除黑名单中的恶意字符。白名单是一种非常有效的
方法,虽然它需要执行严格的输入验证规则,但可以减少对参数化SQL 语句的
维护,并能够提供更高的安全保证。在大多数情况下,黑名单是充满漏洞的,并
不能有效地预防SQL 注入攻击。举个例子,攻击者可以:
1)把没有被黑名单引用的对象作为目标;
2)找到方法绕过需要排除的特殊字符;
3)利用存储程序存储过程隐藏注入的特殊字符;
手动排除输入到 SQL 查询中的字符是有用的,但它并不能保证你的应用程序不
受SQL 注入攻击。
另一个被提出的对付 SQL 注入攻击的常见方法是使用存储程序过程。尽管存储
程序过程能够防止一些类型的SQL 注入攻击,但仍有很多它不能预防。存储程
序过程通常通过限制作为参数的语句的类型来防止SQL 注入攻击。然而,有很
多方法可以绕过该限制,很多有意思的语句仍然能够传递给存储程序存储过程。
与黑名单一样,存储程序过程能够防止一些攻击,但它并不能保证你的应用程序
不受SQL 注入攻击。
[解决办法]
SQL 注入错误发生在:
3) 输入程序的数据来自于不可信源。
4) 这些数据被用于动态构建 SQL 查询。
Example 1:下面的代码动态构建和执行一个SQL 查询,查找与给定名称匹配的
item。查询限定只有当当前用户名与item 的所有者名称匹配时,才向当前用户显
示item。
...
String userName = ctx.getAuthenticatedUserName();
String itemName = request.getParameter("itemName");
String query = "SELECT * FROM items WHERE owner = '"
+ userName + "' AND itemname = '"
+ itemName + "'";
List items = sess.createSQLQuery(query).list();
...
代码中的查询原本希望执行如下语句:
SELECT * FROM items
WHERE owner = <userName>
AND itemname = <itemName>;
然而,因为查询语

热点排行