入侵网站学习_程序篇_输入参数漏洞(2)

真没想到一个小小的输入参数的漏洞，居然可造成整个网站的不安全，甚至是破坏性的。

其实要解决这个问题也真是非常的简单，只要对输入的参数进行一下判断就可以了。如果是字符型参数，用checkstr(自写)将其中的'改换为''；如果是数值型，用isnumeric(系统自带)来判断，返回True即为判断正确，不过有时会出错，所以我用isinteger(自写)来判断。只要对每个有输入参数的页面都进行一下判断，那么对于SQL注入这种黑客侵入方法来说，你的网站就是安全的。

51检查出来的那些页面，我分析了一下。1，为了节省时间，直接拿网上现成的程序来改，而此程序有些漏洞，所以...；2.自己写的页面，以前也有这些认识，但认识不深。有些页面加了判断，有些页面就没有，所以...

即然有了工具，就随便抄几个网站吧，声明：我可没用他来做坏事!没想到，几乎每三个网站就会有一个网站有此漏洞，短短10分钟，就抄出3个网站来了。而且其中是一个著名的大型网站，不过其密码用md5加密了，而且管理登陆页也找不到。

因此，总结了一些经验，也许对以后的网站开发有点儿作用。
1.每个带输入参数的页面，必须对输入参数进行判断。
2.密码用MD5加密，基本上来说，只要是6位以上，有大小写的密码，是不可能被解密的。如果是在6位以下的简单密码，用MD5暴力破解器可在很短的时间内破解出来。所以设密码一定要慎重，尤其是管理员密码，直接关系到网站的安全。
3.如果使用sqlserver做为网站数据库，不要用sa来连接。要新建一个用户来连接，防止SQL注入时通过xp_cmdshell等sqlserver内置的存储过程来创建服务器管理组的用户。
4.管理区目录不要和一般的页面程序放在一起，最好能取个他人猜不到的目录，或者进行IP判断(只允许你公司静态IP或者动态IP段访问)。

就这么多了，以后想到再补充。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!