紧急请求各位支援!如何来防止通过修改传递参数破坏SQL系统,比如执行SQL系统存储过程?万分紧急,在线等待!!!
比如在IE的地址栏有:...list.asp?name=abc..
如果黑客通过修改abc的值,来执行exec sp..等存储过程名,就可以给SQL添加用户等操作,请问像这样来传递参数时,如何来防止?现在程序已经完成,在尽量不修改程序的前提下,怎样来避免?是不是必须通过修改程序才能实现?大家有什么心得,请多多发言,谢谢!!!
问题点数:100、回复次数:9Top
1 楼fhsoft8508539(天堂世家)回复于 2004-08-03 08:55:23 得分 13
sql中将ABC用户的权限缩小,不能执行系统存储过程Top
2 楼xing0091()回复于 2004-08-03 08:57:48 得分 12
将字段转义,输出的时候再转回来Top
3 楼wubaozhang()回复于 2004-08-03 08:59:09 得分 12
不就是注入式攻击吗!!在本版搜索一下就是了Top
4 楼programmer11(程序员)回复于 2004-08-03 09:24:53 得分 13
传递的是SQL语句吗?
不以明文传不就行了吗,改动也不大Top
5 楼ycted(长城万里今犹在,不见当年秦始皇!)回复于 2004-08-03 09:37:01 得分 12
一般来说不要用get来传递.再就是屏蔽一些特殊的字符.另外采用ms的三层结构.装上防火墙严格的checkpoint数据报进出,只开放80端口.Top
6 楼yangyanli(乌托邦主·蛤蟆)回复于 2004-08-03 09:45:53 得分 13
http://community.csdn.net/Expert/topic/3230/3230236.xml?temp=.8890955Top
7 楼ganq(小case,再烂的我都玩过~)回复于 2004-08-03 09:47:40 得分 12
屏蔽了那些SQL关键字~Top
8 楼DoHope(不做流星)回复于 2004-08-03 09:54:35 得分 0
学习。Top
9 楼sinusoid(黑眼圈)回复于 2004-08-03 09:56:57 得分 13
同意 programmer11(程序员)
URL中传参数时,URL中显示时加密,调用参数时再解密(用可逆的加密算法)Top
