首页
首页 >> 科技咖 >> 正文

网站安全防护 如何防止sql注入的安全建议

日期:2019-07-11 19:38:14 来源:互联网 编辑:小优 阅读人数:292

目前phpdisk最新版本为7.0版本,该网站可以用于公司办公,企业内部件共享,档存储,比传统的FTP软件更为直观,操作,简单方便,快捷,用户上传件格式可以后台设置,人性化,满足了很多企业以及个人用户的青睐,使用的人越多,针对于该网站的漏洞挖掘也会越来越多,很容易遭受到攻击者的攻击。关于该网站的sql注入攻击漏洞的详情,我们SINE安全来详细的跟大家讲解一下

SQL注入漏洞详情

phpdisk有多个版本,像gbk版本,utf8版本,在代码当中都会相互转换代码的功能,在对代码进行的同时多多少少会存在漏洞,该sql注入漏洞产生的原因就在这里,我们对代码进行安全审计后发现编码转换调用的是conver_str函数,大部分的网站对编码的转换都调用这个参数,在进行的时候进行了多次转义操作,我们追踪代码发现iconv存在sql宽字节注入漏洞,代码截图如下

网站安全防护 如何防止sql注入的安全建议(图1)

另外的一处sql注入漏洞是在代码件里,根目录下的ajax.php件。我们来看下代码

网站安全防护 如何防止sql注入的安全建议(图2)

本身该代码已经使用了全局变量的sql过滤,对一些sql注入语句进行了安全过滤与拦截,一般性的sql注入攻击都不会成功,但是经过我们的安全检测与绕过,可以直接将SQL注入语句植入到网站当中,并从后端执行数据库的查询操作,使用加密对其进行sql攻击。

网站安全防护 如何防止sql注入的安全建议(图3)

网站安全防护 如何防止sql注入的安全建议(图4)

如何防止sql注入攻击呢?修复网站的漏洞

本文相关词条概念解析:

注入

所谓的SQL(结构化查询语言)注入,简单来说就是利用SQL语句在外部对SQL数据库进行查询,更新等动作。首先,数据库作为一个网站最重要的组件之一(如果这个网站有数据库的话),里面是储存着各种各样的内容,包括管理员的账号密码,

网友评论
  • 倾听夏末
    举个例子,你后台写的java代码拼的sql如下
    2019-07-18 09:23 796
  • 入情不要深
    数据库预编译为什么能防止SQL注入?
    2019-07-16 13:48 774
  • 312098288
    都有sql语句可以查询
    2019-07-15 12:33 915
  • 八两金opi
    总结起来,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击
    2019-07-21 23:28 95
  • 比八部泡泡
    也就是说,如果中间有产生歧义的,都将被处理掉,最后执行相当于是这样
    2019-07-16 17:38 192
  • dfshga
    注入点————>上传后门————>控制网站(webshell)数据库获取权限ACCESS注入获取数据(管理员账号密码)Mysql注入获取数据/文件读写操作MsSQL注入获取数据/文件读写操作其他数据库基本等同小思路
    2019-07-20 10:07 242
  • 痛彻心8
    这种不安全的情况是在SQL语句在拼接的情况下发生
    2019-07-22 02:09 613
  • 尾狐的自由
    因此,必须是后端,或是数据来检查才能有效防止
    2019-07-18 02:38 10
  • 8090小男人
    上面的字符串传到后台后,与其它select等字符串拼成了如下的语句
    2019-07-14 10:18 454
  • 超越光速的
    必须有参数传递,参数值带入数据库查询并且执行
    2019-07-23 12:39 992
  • v一朵向阳
    读写文件的SQL语句是什么
    2019-07-19 22:33 639
  • 爱吃肉肉的
    数据库权限没有读取系统文件的权限,该如何渗透
    2019-07-13 19:07 770
  • 科菲冷暖足
    SQL注入时,攻击人员是怎样知道目标网站的数据库结构的?
    2019-07-18 21:58 810
  • 菟子的耳朵
    具体像这样,例如刚刚那条SQL
    2019-07-21 12:57 652
  • 耳朵的耳朵
    职员姓名,__________,该文本域对应上面方法的ename参数
    2019-07-20 06:21 908
  • 惠baby
    因为带入的参数没有进行过滤判断
    2019-07-21 05:35 603
  • 苏西张志双
    Parameters
    2019-07-22 01:23 263
  • 一树梨花8
    为什么参数化SQL查询可以防止SQL注入?
    2019-07-23 11:57 284
  • ycljkq
    如何从根本上防止SQL注入?
    2019-07-16 08:23 707
  • 玩转中国君
    url编码的话则并不使用单引号,不编码的话需要使用单引号作者
    2019-07-17 11:17 594