- 注册时间
- 2008-9-13
- 最后登录
- 1970-1-1
- 在线时间
- 0 小时
- 阅读权限
- 200
- 积分
- 0
- 帖子
- 24482
- 精华
- 4
- UID
- 9
 
|
网站被挂马大部分都是因为程序存在SQL注入漏洞导致,如果您的网站经常被挂马?又找不出程序哪儿有漏洞?请试试这个吧!
- l1 x- m a8 M+ D9 ^9 l" {-----------------安装建议-----------------------------------------------------------------) a2 k8 ~0 G& `. o. n7 \5 c) R1 n
1.就是调用主文件的时候,最好采用绝对路径调用,防止因路径问题引起一些不必要的麻烦。3 Y/ M) x* w9 A
如:) z4 d a' }9 X p. m7 f4 i
<!--#include virtual="/Neeao.com/Neeao_SqlIn.Asp"-->
7 \, q' E% V# R2.安装的时候,最好能在文件头部调用,有时候可能有些程序在调用数据库连接文件的时候,并不是在头部,如:
1 Q3 b3 b) j4 Y: L: B<%9 p9 U+ Z ^+ V7 l" W( t4 I
search=Request.QueryString("search")
( K2 d! t- E0 G%>
- s$ E! t3 _& j9 s4 w, ~3 u) |<!--#include file="inc/conn.asp" -->
) W* ~, D: p ~7 ], h6 {) ~数据查询语句,将search变量带入sql语句。7 P) a9 R- b4 R: E1 k4 }
这种情况下,虽然conn.asp文件调用了防注入系统,但是一样是没用的,因为sql防注入系统是在变量search通过get获取参数后被调用的,因而就不能防止注入了。0 \. s+ o* p$ N4 Y1 R: h- h2 C
解决方法:将每个文件调用的conn.asp写到代码最上部,比如,上面的:
& m" _! E& y) ~, V( x/ W( ?8 s7 d<!--#include file="inc/conn.asp" -->2 y0 u" m1 K3 j+ g5 B" N3 v: X
<%
1 D' M; d# m% C. Q9 r( rsearch=Request.QueryString("search")
7 o1 B- g! [4 k5 @%>
" e1 v* b, {& ?/ [4 l' |这样写的话,就能防止search变量被注入了。
4 Z+ F* I) R4 Z& T$ r% N文件说明:+ ^( F: f7 Y" `$ G/ ^: J
Neeao_SqlIn.Asp 防SQl注入主文件,需要注意以下几点:
# y' z& M; N' _Neeao_sql_admin.asp 后台管理文件3 `$ v% p6 C% @9 ~5 X
-----------------使用方法------------------------------------------------------------------
; m3 m7 ?$ A- ^ B2 ~注意:请用记事本打开Neeao_sql_admin.asp修改里面的管理密码!: b8 k% j, @8 x7 z% Y" E
使用方法很简单,,. C" L! o9 _+ P- o0 _$ O
只要在需要防注入的页面头部用
2 m* r g8 R5 C+ }* N<!--#include virtual="/Neeao.com/Neeao_SqlIn.Asp"-->
n: G4 m1 S# O5 r3 K就可以做到页面防注入~~
& p! ^9 a8 d" k# @4 l' M如果想整站防注,就在网站的一个公用文件中,如数据库链接文件conn.asp中!" v5 @, m" ^. d3 `5 B: B6 n
添加<!--#include virtual="/Neeao.com/Neeao_SqlIn.Asp"-->来调用本软件: W/ f; k3 i4 i# O. p8 v* r; G
需要注意的是,在添加到数据库连接文件中,为了不和程序发生冲突,) ]8 c/ R2 Z) A7 D: I
需添加在文件代码的最底部!
& N7 X' H0 _. ^" ~2 r& F! j |
附件: 你需要登录才可以下载或查看附件。没有帐号?注册
|
IP卡
狗仔卡
发表于 2009-11-14 21:35:35
分享
收藏
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡