我有一個ColdFusion/SQL Server共享服務器託管服務的帳戶,並通過了我認爲是SQL注入攻擊已經有針對性的。我幾乎在每個表的每個字段都有一個JavaScript文件的絕對路徑。它似乎隱藏了每個頁面上的大部分文本和功能。我很幸運能夠將數據庫恢復到合理的點,但我需要防止這種情況再次發生。除了<cfqueryparam></cfqueryparam>
之外,還有什麼我可以做的嗎?ColdFusion和SQL Server數據庫安全
0
A
回答
0
結帳<cfqueryparams>
標籤:http://www.adobe.com/livedocs/coldfusion/7/htmldocs/wwhelp/wwhimpl/common/html/wwhelp.htm?context=ColdFusion_Documentation&file=part_cfm.htm
這是如何清理用戶提交的輸入SQL查詢。
1
推薦的解決方案是審查所有的代碼,並確保你不通過字符串連接建立你的SQL語句。相反,使用參數化查詢和消毒用戶輸入。這是建議用於任何類型的數據庫。
編輯 - 提供C#示例的要求:
string sql = "insert into table_a (cola,colb,colc) values (@value_a,@value_v,@value_c)";
using(SqlConnection conn = new SqlConnection("ConnectionString"))
{
conn.Open();
SqlCommand command = new SqlCommand(sql,conn);
command.CommandType = Commandtype.Text;
command.Parameters.AddWithValue("@value_a",txtFieldAFromForm.Text);
command.Parameters.AddWithValue("@value_b",txtFieldBFromForm.Text);
command.Parameters.AddWithValue("@value_c",txtFieldCFromForm.Text);
command.ExecuteNonQuery();
}
相關問題
- 1. SQL Server數據庫和安全方法
- 2. 保護SQL Server數據庫的安全
- 3. SQL 2005數據庫角色和安全
- 4. ASP.Net與SQL Server中的數據安全
- 5. Android和SQL Server數據庫
- 6. 在SQL Server中建立與安全數據庫的安全連接
- 7. 從C#應用程序安全登錄到SQL Server數據庫
- 8. 安全連接到遠程SQL Server數據庫的方法
- 9. 查看SQL Server數據庫中所有角色的安全性?
- 10. SQL Server安全性,只讀爲新數據庫的默認值
- 11. SQL Server 2005安全
- 12. SQL Express 2005,安全數據庫文件
- 13. SQL雙重數據庫安全
- 14. ColdFusion安全
- 15. WS安全Coldfusion
- 16. ColdFusion 11和Azure數據庫
- 17. 數據庫安全
- 18. SQL Server數據庫
- 19. 安裝SQL Server的驅動器中安裝SQL數據庫
- 20. SQL Server上的SQL Server數據庫或數據庫
- 21. Flyway SQL Server和集成安全性
- 22. OPENROWSET和SQL Server 2008的安全性(SSAS)
- 23. Ajax請求,數據庫和安全
- 24. SQLite數據庫安全和篡改
- 25. iPhone和SQLite數據庫安全
- 26. SQL Server數據庫,wcf和WinForm
- 27. 重命名SQL Server數據庫和MVC5
- 28. VS2010數據庫項目和SQL Server 2008R2
- 29. SQL Server數據庫文件和WCF
- 30. Xamarin格式和sql server數據庫
「相反,使用參數化查詢和過濾用戶輸入。」通過參數化查詢你是指存儲過程?並且應該使用 cfqueryparam>來處理用戶輸入的清理,對嗎? –
2012-03-05 16:43:32
@ d.lanza38沒有,你可以建立參數化查詢W/O使用存儲過程。顯然,在這的ColdFusion的VIA做''(在這裏看到:HTTP://www.alocurto.com/blog4.php/ColdFusion/sql-injection-in-cold-fusion)。我可以提供一個使用參數的內聯SQL語句的C#示例,但我不知道您是使用C#編寫代碼還是會發現它很有用。讓我知道。 –
Icarus
2012-03-05 16:54:23
我已經做了一些C#過去,我應該能夠理解它。我想看看你如何在C#中做到這一點。不過,我確實相信我在這個數據庫上的所有sql語句都已經使用了。如果這是相同的,那麼我不需要你發佈它。謝謝。 –
2012-03-05 17:10:31