用户管理中心 | 代理加盟 | 付款方式 | 联系我们 | 控制面板
 
用户名: 密 码:
 
  香港服务器 独立IP空间 百/千M租用 精品主机 多资源空间 数据库 企业邮局 机柜租用 带宽租用 加盟代理 付款方式 售后服务 赞助区  

我们的虚拟主机优势
首家提供单目录脚本自由修改
5G光纤直入ChinaNET核心
业内首家提供目录权限自由修改
即时支付,即时开通
功能强大的全实时控制中心
域名自由绑定
自由更改空间域名绑定
高性能品牌服务器
4年的市场运营资力
行业内首家提供7秒钟响应服务
软硬件/透明防火墙三重保障
开通域名就免费赠送企业邮局
7*24技术支持服务
多服务器主机客户群服务
我们的邮局优势
独立域名
自由分割邮箱空间大小
任意添加或删除用户
繁、简、英3种界面语言
强大Anti-SPAM反垃圾邮件
不限制附件的大小
智能多语言的管理界面
支持SSL加密
MX邮件记录指向
特有抗病毒内核
HTML功能编辑邮件
 

首页产品介绍
 

    SQLServer漏洞解决方法
 

SQL注入是什么?

  许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。

  网站的恶梦——SQL注入

  SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。

  防御SQL注入有妙法

  第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。

  可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员账号及密码就会被分析出来。

  第二步:对于注入分析器的防范,通过实验,发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。

第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是防止注入的账号,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

  1.对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。

  2.对表进行修改。设置管理员权限的账号放在ID1,并输入大量中文字符(最好大于100个字)。

  3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。

  我们通过上面的三步完成了对数据库的修改。

  另外要明白您做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。只要在管理员登录的页面文件中写入字符限制就行了,就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。





 


退款承诺 | 服务帮助 | 联系方式 | 付款方式 | 在线售后 | 代理加盟 | 本站公告
总部销售:0710-3851666   3878666   3858555   传真:0710-3804415   全国销售服务电话:0710 - 3851666
服务器用户24小时重新启动请拨打: 0710-3178666   
《中华人民共和国增值电信业务经营许可证》  IDC/ISP/ICP证:鄂B2-20080004
Copyright © 2004-2008 佰网 All Rights Reserved