- 注册时间
- 2008-9-13
- 最后登录
- 1970-1-1
- 在线时间
- 0 小时
- 阅读权限
- 200
- 积分
- 0
- 帖子
- 24482
- 精华
- 4
- UID
- 9
 
|
网站被挂马大部分都是因为程序存在SQL注入漏洞导致,如果您的网站经常被挂马?又找不出程序哪儿有漏洞?请试试这个吧!
5 t% s* Z2 Q2 X; H, G& D1 ?) z1 K/ W-----------------安装建议-----------------------------------------------------------------
! L0 J' I, N& q9 F/ L1.就是调用主文件的时候,最好采用绝对路径调用,防止因路径问题引起一些不必要的麻烦。7 J; F" `! @+ j$ b4 S
如:
9 ^. y+ A) ?8 T/ g/ _; p3 I0 R<!--#include virtual="/Neeao.com/Neeao_SqlIn.Asp"-->: d) ^* `$ }1 s+ C, x
2.安装的时候,最好能在文件头部调用,有时候可能有些程序在调用数据库连接文件的时候,并不是在头部,如:4 N# Y. _, k5 |, |8 E2 j3 a
<%
9 w$ n) y$ U" f( hsearch=Request.QueryString("search")1 M' l& C; O& T4 Y, A" Z/ A
%>
+ r6 y- j6 D3 z3 s' m<!--#include file="inc/conn.asp" -->7 g5 q$ M1 F5 b/ W
数据查询语句,将search变量带入sql语句。
" a% @6 y! Q- f# m3 N/ H4 n这种情况下,虽然conn.asp文件调用了防注入系统,但是一样是没用的,因为sql防注入系统是在变量search通过get获取参数后被调用的,因而就不能防止注入了。5 w9 Q0 C5 {- n5 q+ [
解决方法:将每个文件调用的conn.asp写到代码最上部,比如,上面的:+ r Z5 k# [. K, I1 E+ l8 k
<!--#include file="inc/conn.asp" -->
; ?3 U$ l2 z5 Y$ [<%. _* K3 X4 B- |) T$ ]% ^' q* V
search=Request.QueryString("search")4 O9 u2 K. S) s* }0 ]
%>
) b# j' C, H2 V9 Z) b3 K/ W这样写的话,就能防止search变量被注入了。- h! B2 \) J2 b1 y/ \
文件说明:( i/ t2 i* ^9 o Q5 m5 X
Neeao_SqlIn.Asp 防SQl注入主文件,需要注意以下几点:
9 d. Y- M4 F3 E6 W3 zNeeao_sql_admin.asp 后台管理文件; {3 H# x4 j. U8 N: {; p7 V
-----------------使用方法------------------------------------------------------------------
" s, E" h9 o# E注意:请用记事本打开Neeao_sql_admin.asp修改里面的管理密码!
5 p2 Z4 C& X7 K7 d. k3 g. L- \使用方法很简单,,
" \" j6 j; {6 q4 E7 W/ S* K只要在需要防注入的页面头部用
# \4 `8 {+ {/ G% y* K; Q, ?, C! g<!--#include virtual="/Neeao.com/Neeao_SqlIn.Asp"-->
b# [# Y4 S; k% y就可以做到页面防注入~~
) f9 r; p. M4 y* w7 U6 _如果想整站防注,就在网站的一个公用文件中,如数据库链接文件conn.asp中!* _3 W+ n% K5 y; f% A
添加<!--#include virtual="/Neeao.com/Neeao_SqlIn.Asp"-->来调用本软件$ d9 q# w/ V2 F C
需要注意的是,在添加到数据库连接文件中,为了不和程序发生冲突,5 }: r% n% ~+ x' s% D
需添加在文件代码的最底部!
! L* w6 E( ] P# m& I$ k |
附件: 你需要登录才可以下载或查看附件。没有帐号?注册
|
IP卡
狗仔卡
发表于 2009-11-14 21:35:35
分享
收藏
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡