BS系统中，传统的注入攻击手段有很多。
最基本的，利用单引号攻击的，很容易解决，用类似于QuotedStr()（实际开发是其他语言，这里用DELPHI中的函数代替）的函数处理参数即可。
但实际应用中，不可避免会有一些应用需要直接传递参数，例如表名、查询条件、排序条件等等
对这些应用的注入攻击防不胜防。
我考虑了一个思路，供大家参考。

1 对所有网页传入的参数分三种。
  a) 数字类型，用StrToInt函数处理。
  b) 字符串类型，用QuotedStr函数处理。
  c) 需要直接传递的参数，这是需要着重考虑的类型。

2 对所有数据库操作主要分五种，不允许程序直接执行SQL语句：
  a) select 查询
  b) update 更新
  c) insert 新增
  d) delete 删除
  e) exec 执行存储过程

3 对于以上几种数据库操作的所有参数，例如select 操作中的 查询条件、排序条件等，都进行合法性校验：
  a) 里面存在 "--" "/*" "*/" 的，都视为非法条件。
  b) 将条件拆分为单词，如果存在以下单词：delete insert update exec execute create drop grant的，都视为非法条件。（正常的表名、字段名中不可能有上面这些关键字吧。）
  c) 传入的查询条件，校验里面的括号，凡是右括号在左括号前面（不配对）的，都视为非法条件。
  d) 传入的查询条件，前后加括号。

经过以上校验，应该基本可以保证参数是正常的参数，供大家参考。同时也希望大家能找出其中的漏洞，我可以进行改进^_^

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。