当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 判断Web数据库方式的一个小经验

安全防护
黑客也能通过自解压包来实现入侵
如何测试电脑超频是否稳定?
ADSL用户如何防止路由器遭受黑客攻击
股市热潮引发电脑安全隐患 股民安全八大注意
自己编写能删除各种病毒尸体文件的利器
只需这几招:拒绝重复感染病毒
卡巴斯基误杀导致XP崩溃的解决方案
如何清除局域网中的ARP病毒
为什么我的网站会被黑客攻击
用病毒木马进程速查表检查系统
五种获取正版卡巴斯基软件的方式
五招解决XP启动后操作迟延的问题
网页恶意代码六大危害及解决方案
解决故障有高招 让本地连接恢复正常
拒绝病毒威胁 为U盘请个贴身“保镖”
详解八种 Windows 安全模式及应用
一个文件搞定操作系统的所有问题
黑客常用的九种攻击方法
ASP网页防SQL注入的代码
进一步了解USB Key的安全漏洞

安全防护 中的 判断Web数据库方式的一个小经验


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 30 ::
收藏到网摘: n/a

很多站都是这样防止或是过滤ASP提交的参数的
if isnumeric(id) Then
response.write "yes!"
call sql_query(id)
else
response.write "Error id"
Response.End
end if

这样就不论怎么样,如果出现非数值就出现错误,很直接的防范,没办法出错,也没办法得到数据库类型
但是其实我们还是有方法的,
比如这个ID是由xxx.asp提交的
xxx.asp?id=1
我们就在后面加上38个以上的数字,比如0
xxx.asp?id=100000000...{"0"x38}
这样就能得让上面那段ASP在执行SQL_Query的时候出错了
提示如下
引用内容:
Microsoft OLE DB Provider for SQL Server 错误 '80040e57'

数字 '100000000000000000000000000000000000000000000000000000000000000000' 超出了数字表示范围(最大精度为 38 位有效数字)。

/announce.asp,行 19



明白了没?我们让数据库出错了.可见Isnumeric的防范并不是彻底的.
其实原因也很简单:SQL中定义 Numeric数据的精度最大只能是38,如果我们提交了超过38个数值以后就会出现错误,从而让数据库出现错误...
防范也很简单,一句代码足够
程序代码:
if id>1000000000 Then Call Error(id) '100000000这样的长度总足够了吧?