入侵网站学习_程序篇_输入参数漏洞(2)
真没想到一个小小的输入参数的漏洞,居然可造成整个网站的不安全,甚至是破坏性的。 其实要解决这个问题也真是非常的简单,只要对输入的参数进行一下判断就可以了。如果是字符型参数,用checkstr(自写)将其中的'改换为'';如果是数值型,用isnumeric(系统自带)来判断,返回True即为判断正确,不过有时会出错,所以我用isinteger(自写)来判断。只要对每个有输入参数的页面都进行一下判断,那么对于SQL注入这种黑客侵入方法来说,你的网站就是安全的。 51检查出来的那些页面,我分析了一下。1,为了节省时间,直接拿网上现成的程序来改,而此程序有些漏洞,所以...;2.自己写的页面,以前也有这些认识,但认识不深。有些页面加了判断,有些页面就没有,所以... 即然有了工具,就随便抄几个网站吧,声明:我可没用他来做坏事!没想到,几乎每三个网站就会有一个网站有此漏洞,短短10分钟,就抄出3个网站来了。而且其中是一个著名的大型网站,不过其密码用md5加密了,而且管理登陆页也找不到。 因此,总结了一些经验,也许对以后的网站开发有点儿作用。 就这么多了,以后想到再补充。 (编辑:应用网_常德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |