注册 登录
编程论坛 ASP技术论坛

网站被批量加入非法信息??

孤独冷雨 发布于 2008-11-18 15:33, 688 次点击
一个客户的网站被批量加入非法信息,几秒钟就一条。而且IP还是不同的。
我试着更改了数据库地址并且加了验证码,鸟的用没有照样往数据库里发?
请问有遇到这方面问题并解决了的兄弟。给支个招!!!谢谢!
3 回复
#2
hmhz2008-11-18 16:08
这个是你程序中存在漏洞,给不法份子钻了个空,只要你的程序能访问数据库,他就能访问,因为他是利用你的程序向你的数据库插入信息的,所以,你再怎么改数据库地址和加密码都是没用的,因为你的程序也必须能访问你的数据库,问题出你的程序,对程序提交,特殊字符进行过滤
比如黑客使用
https://bbs.bccn.net/thread.asp?id=1 and (select count(*) from msysobjects)>0

在地址栏就可以对你数据库的其他表和字段进行操作了
#3
孤独冷雨2008-11-18 17:04
老大,在信息提交页面我已经用了防SQL注入代码了!好像不管用!防的特殊字符多了,连自己都不能提交了!!哎!!!!!!!

现在和嫂子过的还好吧?
#4
gdk20062008-11-21 13:20
加自定义验证码撒,然后在某些字段上严格限制一下!
1
©2025, BC-CN.NET
电脑版