IIS SQL注入困境...... [英] IIS SQL Injection woes...

问题描述

我很好奇避免针对我的网络服务器的b / b
的SQL注入攻击的最佳方法。


目前我在IIS上。


我可能愿意切换到类似Apache的东西，但我不确定

如果SQL注入是

是一个足够通用的攻击，一旦我进行

切换就会让我担心。


此外，我正在寻找方法防止黑客从我的网站上窃取成人

的内容。


.... Bob
< a rel =nofollowhref =http://SinBuzz.comtarget =_ blank> http://SinBuzz.com

[对于那些住在Sin的人]

Hi,

I''m curious about the best way to avoid SQL Injection attacks against
my web server.

Currently I''m on IIS.

I might be willing to switch to something like Apache but I''m not sure
if SQL Injection is
is a generic enough of an attack to cause me worries once I make the
switch.

Also, I''m looking for ways to prevent hackers from stealing adult
content from my site.

....Bob
http://SinBuzz.com
[ For those who live in Sin ]

推荐答案

顺便提一下这个NG的OT值......

Quite a fair bit OT for this NG by the way...

我很好奇避免SQL注入攻击的最佳方法

对付我的网络服务器。

I''m curious about the best way to avoid SQL Injection attacks
against
my web server.

首先，不要使用字符串连接来构建SQL

查询...而是使用参数化查询;无论服务器/体系结构如何，这都避免了大多数形式的SQL注入。


ASP.Net还可以帮助预测各种形式的脚本注入，如果

启用


至于窃取内容：你的意思是重新发布他们所做的内容吗？
有合法的下载权限吗？ （在这种情况下，答案是

可能是合法的而不是系统的），或阻止访问他们无法访问的东西？b $ b无法访问？ （在这种情况下，您需要了解

IIS和/或ASP.Net安全模型[或您选择的产品]）。

或者，推送所有这些通过代理页面下载

接受引用内容的QS参数，通过您的

定制模型验证访问，然后流式传输标题和内容。


Marc

As a start, don''t ever use string concatenation to build SQL
queries... use parameterised queries instead; this avoids most forms
of SQL injection regardless of the server / architecture.

ASP.Net can also help project various forms of script injection if
enabled

As for stealing content: do you mean re-posting content that they do
have legitimate access to download? (in which case the answer is
probably legal rather than system), or blocking access to things they
don''t have access to? (in which case you need to find out about the
IIS and/or ASP.Net security models [or for your chosen product]).
Alternatively, push all such downloads through a proxying page which
accepts a QS param referencing the content, verifies access via your
bespoke model, and then streams the headers and content.

Marc

2007年1月5日01:12:22 -0800 si ***** @ gmail.com 写道：

At 5 Jan 2007 01:12:22 -0800 si*****@gmail.com wrote:

>




我很好奇避免SQL注入攻击的最佳方法

我的网络服务器。


目前我我在IIS上。


我可能愿意切换到像Apache这样的东西，但我不确定如果SQL注入是
>
是一种通用的攻击方式，一旦我进行了

切换，就会让我担心。

>
Hi,

I''m curious about the best way to avoid SQL Injection attacks against
my web server.

Currently I''m on IIS.

I might be willing to switch to something like Apache but I''m not sure
if SQL Injection is
is a generic enough of an attack to cause me worries once I make the
switch.

我相信SQL注入攻击是IIS独有的。切换到

Apache将是一个聪明的举动。

I believe the SQL Injection attacks are unique to IIS. Switching to
Apache would be a smart move.

>

此外，我正在寻找如何防止黑客从我的网站窃取成人

内容。

>
Also, I''m looking for ways to prevent hackers from stealing adult
content from my site.

Apache + Linux。

Apache + Linux.

>

... Bob
http://SinBuzz.com

[对于那些人谁住在罪恶]

>
...Bob
http://SinBuzz.com
[ For those who live in Sin ]

-

Robert Heller - 978-544-6933

Deepwoods软件 - Linux安装和管理
http://www.deepsoft.com / - 使用CGI和数据库进行虚拟主机
he****@deepsoft.com - - 合同编程：C / C ++，Tcl / Tk

--
Robert Heller -- 978-544-6933
Deepwoods Software -- Linux Installation and Administration
http://www.deepsoft.com/ -- Web Hosting, with CGI and Database
he****@deepsoft.com -- Contract Programming: C/C++, Tcl/Tk

嗨Mark，

Hi Mark,

>我很好奇避免针对我的网络服务器的SQL注入攻击的最佳方法。

>I''m curious about the best way to avoid SQL Injection attacks against
my web server.

首先，不要使用字符串连接来构建SQL查询...

使用参数化查询;这避免了大多数形式的SQL注入

，无论服务器/体系结构如何。

As a start, don''t ever use string concatenation to build SQL queries...
use parameterised queries instead; this avoids most forms of SQL injection
regardless of the server / architecture.

我不知道除了可能发生的事情之外的任何其他形式的SQL注入

当SQL从通常的硬盘连接起来时编码的SQL字符串和用户

输入。参数化查询应该完全解决问题。


我错过了什么吗？


< snip>


-

Dave Sexton
http：// davesexton .com / blog

这篇关于IIS SQL注入困境......的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！