網站被sql注入

A. 網站如何防止sql注入攻擊的解決辦法

首先我們來了解下什麼是SQL注入，SQL注入簡單來講就是將一些非法參數插入到網站資料庫中去，執行一些sql命令，比如查詢資料庫的賬號密碼，資料庫的版本，資料庫伺服器的IP等等的一些操作，sql注入是目前網站漏洞中危害最大的一個漏洞，受攻擊的網站佔大多數都是sql注入攻擊。

sql注入攻擊用英語來講Structured Query Language，在網站的編程語言當中是一種比較另類的網站開發語言，我們網站安全行業通常來講sql是用來資料庫查詢的一種網站開發語言，同時也是一種腳本文件的一個文件名，通俗來講sql就是用來對網站的資料庫進行查詢，以及增加，寫入，更新資料庫的一個sql資料庫操作。

關於資料庫我們分為2種資料庫，一種是關系資料庫，非關系資料庫，那麼目前網站使用的都是關系資料庫，關系資料庫分為sql資料庫，microsoft sql server資料庫，ACC資料庫，mysql資料庫，oracle資料庫，DB2資料庫，postgresql資料庫等等的關系資料庫，非關系資料庫分為nosql資料庫，可以存儲很大數據，針對於一些並發較高，存儲較多，雲計算的場景，頻繁讀取寫入的資料庫，像memcachedb,redis,mongodb等等非關系資料庫。

那麼什麼是sql注入呢？ 簡單來講就是對網站強行進行插入數據，執行sql惡意語句對網站進行攻擊，對網站進行sql注入嘗試，可以獲取一些私密的信息，像資料庫的版本，管理員的賬號密碼等等。

關於如何防止sql注入攻擊，我們從以下幾點開始入手

首先我們可以了解到sql注入攻擊都是通過拼接的方式，把一些惡意的參數拼接到一起，然後在網站的前端中插入，並執行到伺服器後端到資料庫中去，通常我們在寫php網站代碼的時候會將get ID這個參數值獲取到後直接拼接到後端伺服器中去，查詢資料庫，但是如果拼接了一些惡意的非法參數，那麼久可以當做sql語句來執行，如果防止sql注入呢？

為了防止網站被sql注入攻擊，我們應該從一開始寫代碼的時候就應該過濾一些sql注入的非法參數，將查詢的一些sql語句，以及用戶輸入的參數值都以字元串的方式來處理，不論用戶輸入的什麼東西，在sql查詢的時候只是一段字元串，這樣構造的任何惡意參數都會以字元串的方式去查詢資料庫，一直惡意的sql注入攻擊就不會被執行，sql注入語句也就沒有效果了，再一個就是網站里的任何一個可以寫入的地方盡可能的嚴格過濾與限制，漏下一個可以輸入的地方網站就會被攻擊，網站就會被黑，所有做的網站安全就會沒有效果，包括一些get,post,cookie方式的提交都是不可信的，像數據表裡referer user-agent等欄位都是可以偽造，寫入sql注入語句的，像前端時間爆發的ecshop漏洞利用的就是user.php,偽造referer參數進行了sql注入，執行了遠程代碼。

再一個防止sql注入的方法就是開啟PHP的魔術配置，開啟安全配置模式，將safe_mode開啟on.以及關閉全局變數模式，register_globals參數設置為on,magic_quotes_gpc參數開啟，防止sql注入.如果對網站防止sql注入不懂的話，也可以找專業的網站安全公司來做安全，防止sql注入。

B. 網站每天都被sql注入攻擊，有什麼特效葯沒

兩種辦法，一種是在glob中加判斷，上面已經有人接了，、另外一種辦法就是把訪問數據的帳號的許可權變小，把對應資料庫中的系統表syscolumns和sysobjects中的許可權中的public的select許可權去掉，因為大部份的注入都是從系統表中找出你這個資料庫中的大欄位，然後再批量替換。所以不能他查系統表的許可權就可以較少很多風險。除非他清除你系統中的表結構。

C. 網站資料庫被SQL注入後應該怎麼辦

之前做過了一個網站，由於沒有對頁面參數進行驗證，掛上去沒多長時間就被人掛馬了，資料庫的每個表每個欄位內容里都被注入了一段代碼，什麼在資料庫中還新建了自己的表，真是太囂張了，但是這么多內容是不可能手動去刪除的，解決過程如下

一、首先刪除資料庫被注入的代碼

如統一刪除<script src=http://3b3.org/c.js> </script> （此適用於sql server）

DECLAREhCForEachCURSORGLOBAL
FOR
SELECTN'update'+QUOTENAME(o.name)
+N'set'+QUOTENAME(c.name)+N'=replace(CAST('+QUOTENAME(c.name)+'asvarchar(8000)),''<scriptsrc=http://3b3.org/c.js></script>'','''')'
FROMsysobjectso,syscolumnsc,systypest
WHEREo.id=c.id
ANDOBJECTPROPERTY(o.id,N'IsUserTable')=1
ANDc.xusertype=t.xusertype
AND(t.name='varchar'ort.name='ntext')
EXECsp_MSforeach_Worker@command1=N'?'

注意這樣刪除之後 ntext欄位將被截斷成8000個字元 導致數據丟失，當然其實在sql注入之前這種欄位屬性已經被截斷了，所以在刪除這些之後還要進行數據恢復但是 網站被掛馬往往是隨機的不知道什麼時候 我們可能沒有做及時的備份，無法恢復

這時候我們可以考慮從資料庫日誌進行恢復

1，如果誤操作之前存在一個全庫備份（或已有多個差異備份或增量備份），首先要做的事就是進進行一次日誌備份（如果為了不讓日誌文件變大而置trunc. log on chkpt.選項為1那你就死翹了）

backuplogdbNametodisk='fileName'

2，恢復一個全庫備份，注意需要使用with norecovery，如果還有其他差異或增量備份，則逐個恢復

restoredatabasedbNamefromdisk='fileName'withnorecovery

3，恢復最後一個日誌備份即剛做的日誌備份，指定恢復時間點到誤操作之前的時刻

restorelogdbNamefromdisk='fileName'
withstopat='date_time'

最後就是把網站的漏洞補上 對參數進行過濾

D. 網站被sql注入了，怎麼辦

檢查一下代碼里的sql，有往sql里傳值的地方都換成｛？｝，然後用preparedstatement做。

E. SQL注入是什麼意思

SQL注入屬於注入式攻擊，這種攻擊是因為在項目中沒有將代碼與數據隔離，在讀取數據的時候，錯誤地將數據作為代碼的一部分執行而導致的。
如何處理SQL注入情況?三個方面：
1、過濾用戶輸入參數中的特殊字元，降低風險;
2、禁止通過字元串拼接sql語句，嚴格使用參數綁定來傳入參數;
3、合理使用資料庫框架提供的機制。

F. 網站被人SQL注入了 怎麼弄

是.NET的嗎？
和我之前遇到的問題一樣，主要是程序上有漏洞，
盡可能全的過濾SQL敏感的語句，
先把資料庫裡面注入的代碼用Replace()替換掉，
再在Global文件里里加入
protected void Application_BeginRequest(Object sender, EventArgs e)
{
//SQL防注入
string Sql_1 = "exec|insert+|select+|delete+|update+|count|chr|mid|master+|truncate|char|declare|drop+|drop+table|creat+|creat+table";
string Sql_2 = "exec+|insert|insert+|delete+|update+|count(|count+|chr+|+mid(|+mid+|+master+|truncate+|char+|+char(|declare+|drop+|creat+|drop+table|creat+table";
string[] sql_c = Sql_1.Split('|');
string[] sql_c1 = Sql_2.Split('|');

if (Request.QueryString != null)
{
foreach (string sl in sql_c)
{
if (Request.QueryString.ToString().ToLower().IndexOf(sl.Trim()) >= 0)
{
Response.Write("警告！你的IP已經被記錄!不要使用敏感字元！");//
Response.Write(sl);
Response.Write(Request.QueryString.ToString());
Response.End();
break;
}
}
}

if (Request.Form.Count > 0)
{
string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//伺服器名稱
if (Request.ServerVariables["HTTP_REFERER"] != null)
{
string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名稱
string s3 = "";
if (s1.Length > (s2.Length - 7))
{
s3 = s2.Substring(7);
}
else
{
s3 = s2.Substring(7, s1.Length);
}
if (s3 != s1)
{
Response.Write("警告！你的IP已經被記錄!不要使用敏感字元！");//
Response.End();
}
}
}
}

G. 網站被SQL注入攻擊了怎麼辦

暫停網站服務，把SQL注入的信息清理掉；修改數據處理層，防止在被攻擊

H. sql 注入是什麼

SQL注入是一種注入攻擊，可以執行惡意SQL語句。它通過將任意SQL代碼插入資料庫查詢，使攻擊者能夠完全控制Web應用程序後面的資料庫伺服器。攻擊者可以使用SQL注入漏洞繞過應用程序安全措施;可以繞過網頁或者Web應用程序的身份驗證和授權，並檢索整個SQL資料庫的內容;還可以使用SQL注入來添加，修改和刪除資料庫中的記錄。
SQL注入漏洞可能會影響使用SQL資料庫的任何網站或Web應用程序。犯罪分子可能會利用它來未經授權訪問用戶的敏感數據：客戶信息，個人數據，商業機密，知識產權等。雖然最古老，但非常流行，也是最危險的Web應用程序漏洞之一。

I. 網站被SQL注入,進不去怎麼辦

先要檢查網頁有沒有被改動（最容易被攻擊的是 asp網站），如果網頁的asp文件有備份，直接用備份覆蓋掉伺服器上的文件就可以了，如果沒有，就打開伺服器上的某個asp文件，比如首頁，看看是不是有被插入<script>....</script>或者被嵌入<iframe>之類的東西，有的話一般會是很多文件被修改，要批量清除可以用editplus或者ultraedit中批量替換，將這些病毒代碼替換為空。另外有些時候，資料庫的數據裡面裡面也有可能嵌入這些病毒或者木馬，也要用sql語句清除掉。

J. 我的網站老是被sql注入攻擊怎麼辦

<%
'----實現get請求的注入的攔截-----
dim sql_injdata,Sql_Inj,SQL_Get,Sql_DATA
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert('安全警告：請勿非法注入，你的IP已被記錄，已發送管理員！');history.back(-1)</Script>"
Response.end
end if
next
Next
End If

'----我們還要過濾post請求，所以我們還得繼續考慮request.form,這個也是以數組形式存在的，我們只需要再進一次循環判斷即可-----

If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert('安全警告：請勿非法注入，你的IP已被記錄，已發送管理員！');history.back(-1)</Script>"
Response.end
end if
next
next
end if
%>

把這段代碼，加在你的連接資料庫文件時太OK啦，
還有你看看你網站的伺服器安全嗎？如果伺服器別的網站有漏洞還是一樣可以加<iframe>，我也就知道這么多啦，希望能幫上你的忙！！