防注入的解决办法【引用】

我刚为一台服务器处理了这种情况,区别只是被插人的JS地址不一样而已
说说我的做法

恢复数据库这些废话不说
补救措施有:
1、修补代码注入漏洞
  过滤字符不是根本方法(select  ,updata  ,insert 这些是必须屏蔽的),百密一疏在所难免,好方法是把拼凑的SQL语句全部改为参数化;
  所谓参数化,例如 select * from tableName where id=(@id)
2、删除SQLSERVER 扩展存储过程
3、把系统system32 里面的 cmd.exe 等十几个危险EXE文件的读写权限只赋予administrator
4、升级服务器补丁
5、封闭所有用不到的端口

关键是使用SQL语句的时候,要养成参数化的习惯
posted @ 2009-03-29 15:58  Jason.Bird  阅读(210)  评论(0编辑  收藏  举报