堵住sql server中sql注入漏洞的的方法

发布时间:2019-12-20编辑:脚本学堂
本文介绍下,防御SQL注入的方法,即堵住sql server中注入漏洞的方法。有需要的朋友参考下吧。

步骤一,从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。

可是如果通过sql注入分析器就可轻松跳过防注入系统并自动分析其注入点。
然后只需要几分钟,你的管理员账号及密码就会被分析出来。

步骤2,对于注入分析器的防范,有一种简单有效的防范方法。
首先,要知道SQL注入分析器是如何工作的。
在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。

步骤3,既然无法逃过检测,那就做两个账号,一个是普通的管理员账号,一个是防止注入的账号。
如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

1.对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。

2.对表进行修改。设置管理员权限的账号放在ID1,并输入大量中文字符(最好大于100个字)。

3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。

完成了对数据库的修改,还要明白做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。

此时,只要在管理员登录的页面文件中写入字符限制即可。
就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。

就介绍这些吧,希望对大家防范sql注入,有一定的帮助吧。