求个关于防止SQL注入的安全东东

2008chny

RT

flb_2001

这个应该网上有很多的啊

只爱睡觉

与其在程序上防止不如在写程序的时候进行过滤。

FengNet

第一个：UrlScan 3.1
UrlScan 3.1是一个安全方面的工具，微软官方的东西。它会检查所有IIS处理的HTTP请求。UrlScan 可以在有安全问题的HTTP请求到达应用程序之前就阻止这个请求。UrlScan 3.1 是UrlScan 2.5的一个升级版本，支持Windows Vista 和Windows Server 2008系统之上的IIS 5.1, IIS 6.0 和 IIS 7.0。
下载地址：http://www.iis.net/expand/UrlScan 这里还有很多非常有用的IIS扩展，可以看看。
第二个：IIS 6 SQL Injection Sanitation ISAPI Wildcard
这个ISAPI dll 也是通过检查HTTP请求避免SQL注入。只兼容windows 2003上的 IIS 6.0。对于Windows XP 上的 IIS 5 不支持。
这是一个开源项目：http://www.codeplex.com/IIS6SQLInjection
http://www.fengnet.com/showart.asp?art_id=1811&cat_id=12

第三个 WebKnight是一套可以应用于 IIS 的开放源代码应用程序防火墙，并遵守 GNU General Public License。它根据用户设定的过滤规则，以 ISAPI filter 方式阻档可能危害网页服务器的攻击。


•首先下载一份WebKnight，下载地址：http://aqtronix.com/?PageID=99#Download（注，这不是直接下载地址，点开后需要再点击WebKnight 2.2 (Release date: 2008.09.02)，以防更新后各位朋友还下载旧的版本）
http://www.fengnet.com/showart.asp?art_id=1808&cat_id=11

yulihua49

RT
2008chny 发表于 2010-03-29 10:22

    不要给SQL注入以机会。
例如“select * from passwd where username=%s and passwd=%s",不能这样写。
要用绑定变量，而且username与passwd分离：
“select * from passwd where uasename=:username"
if succeed

compare(usr_passwd,db_passwd);

maochanglu

参数化的sql，是很好的解决方法。

notion001

防止哪方面的?
参考下这个http://bbs.beilin2008.cn/dispbbs.asp?boardid=17&id=7465

为什么删我号

购买正版杀毒软件吧

为什么删我号

防止哪方面的?
参考下这个
notion001 发表于 2010-06-17 16:06

    看看，多谢！