根据我们针对PJBlog进行的程序代码审计发现，PJBlog多个页面存在SQL注入漏洞，致使恶意用户可以利用注入漏洞拿到管理员帐号密码，并且进行恶意攻击。我们强烈建议使用PJBlog的用户立刻检查一下您的系统是否受此漏洞影响，并紧密的关注PJBlog官方所发布的安全更新官方补丁：       http://bbs.pjhome.net/thread-26090-1-1.html...

用于防止sql注入攻击的函数，大家可以直接用了，不过大家光会用不行，要增强安全意识[code]'=========================='过滤提交表单中的SQL'==========================function ForSqlForm()dim fqys,errc,i,itemsdim nothis(18)nothis(0)="net user"nothis(1)="xp_cmdshell"nothis(2)="/add"nothis(3)="exec%20master.dbo.xp_cmdshell"nothis(4)="...

软件作者：kj021320信息来源：I.S.T.O技术团队（http://blog.csdn.net/I_S_T_O/）本来这文章在TEAM里面放了好久的了！只是<<art of sql injection>>的一个小部分,可惜写了好久资料收集了好多但是估计年底都没能出来~那就先发出来了！主要是MSSQL2005都来了！2K的话没多久就会给淘汰了~拿出来跟大家交流吧~广告说完了...正文:提起public权限的用户估计很多人也觉得郁闷了吧~N久以前看了一篇《论在mssql中public和db_owner权限下拿到webshell或是系统权限...

呵呵,只是证明下漏洞存在exp如下,保存为vbs,自己下个程序测试自己吧'From 剑心'============================================================================'使用说明：' 在命令提示符下：' cscript.exe lbsblog.vbs 要攻击的网站的博客路径 有效的文章id 要破解的博客用户密码'如：' cscript.exe lbsblog.vbs www.xxxx.com/blog/ 1&nb...

<%’******************************’函数：CheckStr(byVal ChkStr)’参数：ChkStr,待验证的字符’作者：阿里西西’日期：2007/7/15’描述：对SQL注入危险字符进行重编码处理’示例：CheckStr("and 1=1 or select * from")’******************************Function CheckStr(byVal ChkStr) Dim Str:Str=ChkStr St...

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX X Web Security - XSS & more X XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 作者: CyberPhreak翻译: 黯魂 [S.S.T]~介绍在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞....

这几天太忙，继续连载哈哈，争取半个月结束。上文说到数据库自带的不安全输入过滤功能，但这样的功能不是所有数据库都有的。目前大概只有MySQL,SQLite,PostgreSQL,Sybase带有这样的功能，而包括Oracle和SQL Server在内的很多数据库都没有。鉴于这样的情况，一般开发者采用一种通用的方法来避免不安全的数据写入数据库--base64编码。这样可以避免所有可能引起问题的特殊字符造成的危险。但Base64编码后的数据容量大概会增加33%，比较占用空间。在PostgreSQL中，使用Base64编码数据还有个问题，就是无法使用’LIKE’查询。所以总结这么多，我们知道...

PHP与SQL注入攻击[二]Magic Quotes上文提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加上反斜杠\。但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Qu...

Haohappyhttp://blog.csdn.net/Haohappy2004SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。下面来谈谈SQL注入攻击是如何实现的，又如何防范。看这个例子：// supposed input$name = “ilia’; DELETE FROM users;”;mysql_query(“SELECT *&...

’屏蔽通过地址栏攻击  url=Request.ServerVariables("QUERY_STRING")  if instr(url,";")>=1 then  url=Replace(url,";","；") : Response.Redirect("?" & url)  end if  ’屏蔽通过表单攻击   for each item in&...

【原文地址】Tip/Trick: Guard Against SQL Injection Attacks 【原文发表日期】 Saturday, September 30, 2006 9:11 AMSQL注入攻击是非常令人讨厌的安全漏洞，是所有的web开发人员，不管是什么平台，技术，还是数据层，需要确信他们理解和防止的东西。不幸的是，开发人员往往不集中花点时间在这上面，以至他们的应用，更糟糕的是，他们的客户极其容易受到攻击。Michael Sutton 最近...