技术文章
您当前的位置:网站首页 -> 网站新闻 -> 技术文章

浅谈后台MYSQL工具处的SQL注入过滤

发布时间:2014-03-11 13:26:49  点击:0 次
后台为我们提供了快捷方便的MYSQL执行工具,但是大部分站长都是找人开发或者修改模板甚至有用admin  admin  账户的

由于各种原因我们的后台账户密码都泄露了出去

再由于遇到了想做点坏事的人  那么我们的程序就很不安全了 因为这里可以进行注入  程序对我们输入的SQL语句没有进行有效的过滤...


例如:


本部分设定了隐藏,您已回复过了,以下是隐藏的内容
危险语句:select 0x3c3f706870206576616c28245f524551554553545b636d645d293b3f3e into outfile 'F:/demo/qibocms/cache/ok.php'

危险语句:Select '<%execute request("value")%>' into outfile 'F:/demo/qibocms/cache/1.asp';

很容易就在cache目录内写入了一个文件。

解决办法:

我们打开 admin/mysql.php

搜:elseif($action=='sql'&&$Apower[mysql_sql]){

在他下面加上:


本部分设定了隐藏,您已回复过了,以下是隐藏的内容
复制代码
  1.  
  2.  
  3. $guolv=array('outfile','0x5e5e5e',"Hex",'char','xp_cmdshell','0x3c3','eva l','cmd','file','POST','exec master','execute','request');
  4.  foreach($guolv as $value){
  5.   if (stripos($sql,$value)!==false){
  6.    showerr("非法操作");
  7.   }
  8.  }

这样就能有效避免写入各种文件了 

即过滤了不安全的因素 又不影响查询  当然了还有各种不安全的语句特征码  欢迎各位版主大大补充完善。

方法不一定是最好的 也欢迎各位进行完善补充 让我们的软件更安全。
返回】 【打印
分享到:
        重庆网页设计 | 个人网站建设 | 企业网站制作 | 重庆建站专家
WWW.CQPS.NET 咨询电话:18725879739 TAOBAO地址:http://cqps.taobao.com 版权所有
论坛ID:CQPS  业务技术QQ:191698811 重庆ICP备050453号 Copyright 1998 - 2012 cqps. All Rights Reserved