网站被sql注入

A. 网站如何防止sql注入攻击的解决办法

首先我们来了解下什么是SQL注入，SQL注入简单来讲就是将一些非法参数插入到网站数据库中去，执行一些sql命令，比如查询数据库的账号密码，数据库的版本，数据库服务器的IP等等的一些操作，sql注入是目前网站漏洞中危害最大的一个漏洞，受攻击的网站占大多数都是sql注入攻击。

sql注入攻击用英语来讲Structured Query Language，在网站的编程语言当中是一种比较另类的网站开发语言，我们网站安全行业通常来讲sql是用来数据库查询的一种网站开发语言，同时也是一种脚本文件的一个文件名，通俗来讲sql就是用来对网站的数据库进行查询，以及增加，写入，更新数据库的一个sql数据库操作。

关于数据库我们分为2种数据库，一种是关系数据库，非关系数据库，那么目前网站使用的都是关系数据库，关系数据库分为sql数据库，microsoft sql server数据库，ACC数据库，mysql数据库，oracle数据库，DB2数据库，postgresql数据库等等的关系数据库，非关系数据库分为nosql数据库，可以存储很大数据，针对于一些并发较高，存储较多，云计算的场景，频繁读取写入的数据库，像memcachedb,redis,mongodb等等非关系数据库。

那么什么是sql注入呢？ 简单来讲就是对网站强行进行插入数据，执行sql恶意语句对网站进行攻击，对网站进行sql注入尝试，可以获取一些私密的信息，像数据库的版本，管理员的账号密码等等。

关于如何防止sql注入攻击，我们从以下几点开始入手

首先我们可以了解到sql注入攻击都是通过拼接的方式，把一些恶意的参数拼接到一起，然后在网站的前端中插入，并执行到服务器后端到数据库中去，通常我们在写php网站代码的时候会将get ID这个参数值获取到后直接拼接到后端服务器中去，查询数据库，但是如果拼接了一些恶意的非法参数，那么久可以当做sql语句来执行，如果防止sql注入呢？

为了防止网站被sql注入攻击，我们应该从一开始写代码的时候就应该过滤一些sql注入的非法参数，将查询的一些sql语句，以及用户输入的参数值都以字符串的方式来处理，不论用户输入的什么东西，在sql查询的时候只是一段字符串，这样构造的任何恶意参数都会以字符串的方式去查询数据库，一直恶意的sql注入攻击就不会被执行，sql注入语句也就没有效果了，再一个就是网站里的任何一个可以写入的地方尽可能的严格过滤与限制，漏下一个可以输入的地方网站就会被攻击，网站就会被黑，所有做的网站安全就会没有效果，包括一些get,post,cookie方式的提交都是不可信的，像数据表里referer user-agent等字段都是可以伪造，写入sql注入语句的，像前端时间爆发的ecshop漏洞利用的就是user.php,伪造referer参数进行了sql注入，执行了远程代码。

再一个防止sql注入的方法就是开启PHP的魔术配置，开启安全配置模式，将safe_mode开启on.以及关闭全局变量模式，register_globals参数设置为on,magic_quotes_gpc参数开启，防止sql注入.如果对网站防止sql注入不懂的话，也可以找专业的网站安全公司来做安全，防止sql注入。

B. 网站每天都被sql注入攻击，有什么特效药没

两种办法，一种是在glob中加判断，上面已经有人接了，、另外一种办法就是把访问数据的帐号的权限变小，把对应数据库中的系统表syscolumns和sysobjects中的权限中的public的select权限去掉，因为大部份的注入都是从系统表中找出你这个数据库中的大字段，然后再批量替换。所以不能他查系统表的权限就可以较少很多风险。除非他清除你系统中的表结构。

C. 网站数据库被SQL注入后应该怎么办

之前做过了一个网站，由于没有对页面参数进行验证，挂上去没多长时间就被人挂马了，数据库的每个表每个字段内容里都被注入了一段代码，什么在数据库中还新建了自己的表，真是太嚣张了，但是这么多内容是不可能手动去删除的，解决过程如下

一、首先删除数据库被注入的代码

如统一删除<script src=http://3b3.org/c.js> </script> （此适用于sql server）

DECLAREhCForEachCURSORGLOBAL
FOR
SELECTN'update'+QUOTENAME(o.name)
+N'set'+QUOTENAME(c.name)+N'=replace(CAST('+QUOTENAME(c.name)+'asvarchar(8000)),''<scriptsrc=http://3b3.org/c.js></script>'','''')'
FROMsysobjectso,syscolumnsc,systypest
WHEREo.id=c.id
ANDOBJECTPROPERTY(o.id,N'IsUserTable')=1
ANDc.xusertype=t.xusertype
AND(t.name='varchar'ort.name='ntext')
EXECsp_MSforeach_Worker@command1=N'?'

注意这样删除之后 ntext字段将被截断成8000个字符 导致数据丢失，当然其实在sql注入之前这种字段属性已经被截断了，所以在删除这些之后还要进行数据恢复但是 网站被挂马往往是随机的不知道什么时候 我们可能没有做及时的备份，无法恢复

这时候我们可以考虑从数据库日志进行恢复

1，如果误操作之前存在一个全库备份（或已有多个差异备份或增量备份），首先要做的事就是进进行一次日志备份（如果为了不让日志文件变大而置trunc. log on chkpt.选项为1那你就死翘了）

backuplogdbNametodisk='fileName'

2，恢复一个全库备份，注意需要使用with norecovery，如果还有其他差异或增量备份，则逐个恢复

restoredatabasedbNamefromdisk='fileName'withnorecovery

3，恢复最后一个日志备份即刚做的日志备份，指定恢复时间点到误操作之前的时刻

restorelogdbNamefromdisk='fileName'
withstopat='date_time'

最后就是把网站的漏洞补上 对参数进行过滤

D. 网站被sql注入了，怎么办

检查一下代码里的sql，有往sql里传值的地方都换成｛？｝，然后用preparedstatement做。

E. SQL注入是什么意思

SQL注入属于注入式攻击，这种攻击是因为在项目中没有将代码与数据隔离，在读取数据的时候，错误地将数据作为代码的一部分执行而导致的。
如何处理SQL注入情况?三个方面：
1、过滤用户输入参数中的特殊字符，降低风险;
2、禁止通过字符串拼接sql语句，严格使用参数绑定来传入参数;
3、合理使用数据库框架提供的机制。

F. 网站被人SQL注入了 怎么弄

是.NET的吗？
和我之前遇到的问题一样，主要是程序上有漏洞，
尽可能全的过滤SQL敏感的语句，
先把数据库里面注入的代码用Replace()替换掉，
再在Global文件里里加入
protected void Application_BeginRequest(Object sender, EventArgs e)
{
//SQL防注入
string Sql_1 = "exec|insert+|select+|delete+|update+|count|chr|mid|master+|truncate|char|declare|drop+|drop+table|creat+|creat+table";
string Sql_2 = "exec+|insert|insert+|delete+|update+|count(|count+|chr+|+mid(|+mid+|+master+|truncate+|char+|+char(|declare+|drop+|creat+|drop+table|creat+table";
string[] sql_c = Sql_1.Split('|');
string[] sql_c1 = Sql_2.Split('|');

if (Request.QueryString != null)
{
foreach (string sl in sql_c)
{
if (Request.QueryString.ToString().ToLower().IndexOf(sl.Trim()) >= 0)
{
Response.Write("警告！你的IP已经被记录!不要使用敏感字符！");//
Response.Write(sl);
Response.Write(Request.QueryString.ToString());
Response.End();
break;
}
}
}

if (Request.Form.Count > 0)
{
string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称
if (Request.ServerVariables["HTTP_REFERER"] != null)
{
string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称
string s3 = "";
if (s1.Length > (s2.Length - 7))
{
s3 = s2.Substring(7);
}
else
{
s3 = s2.Substring(7, s1.Length);
}
if (s3 != s1)
{
Response.Write("警告！你的IP已经被记录!不要使用敏感字符！");//
Response.End();
}
}
}
}

G. 网站被SQL注入攻击了怎么办

暂停网站服务，把SQL注入的信息清理掉；修改数据处理层，防止在被攻击

H. sql 注入是什么

SQL注入是一种注入攻击，可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询，使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或者Web应用程序的身份验证和授权，并检索整个SQL数据库的内容;还可以使用SQL注入来添加，修改和删除数据库中的记录。
SQL注入漏洞可能会影响使用SQL数据库的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据：客户信息，个人数据，商业机密，知识产权等。虽然最古老，但非常流行，也是最危险的Web应用程序漏洞之一。

I. 网站被SQL注入,进不去怎么办

先要检查网页有没有被改动（最容易被攻击的是 asp网站），如果网页的asp文件有备份，直接用备份覆盖掉服务器上的文件就可以了，如果没有，就打开服务器上的某个asp文件，比如首页，看看是不是有被插入<script>....</script>或者被嵌入<iframe>之类的东西，有的话一般会是很多文件被修改，要批量清除可以用editplus或者ultraedit中批量替换，将这些病毒代码替换为空。另外有些时候，数据库的数据里面里面也有可能嵌入这些病毒或者木马，也要用sql语句清除掉。

J. 我的网站老是被sql注入攻击怎么办

<%
'----实现get请求的注入的拦截-----
dim sql_injdata,Sql_Inj,SQL_Get,Sql_DATA
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert('安全警告：请勿非法注入，你的IP已被记录，已发送管理员！');history.back(-1)</Script>"
Response.end
end if
next
Next
End If

'----我们还要过滤post请求，所以我们还得继续考虑request.form,这个也是以数组形式存在的，我们只需要再进一次循环判断即可-----

If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert('安全警告：请勿非法注入，你的IP已被记录，已发送管理员！');history.back(-1)</Script>"
Response.end
end if
next
next
end if
%>

把这段代码，加在你的连接数据库文件时太OK啦，
还有你看看你网站的服务器安全吗？如果服务器别的网站有漏洞还是一样可以加<iframe>，我也就知道这么多啦，希望能帮上你的忙！！