第一步:很多新手從網上下載SQL通用防注入系統的程序��,在需要防范注入的頁面頭部用 來防止別人進行手動注入測試(如圖1)。
可是如果通過SQL注入分析器就可輕松跳過防注入系統并自動分析其注入點(圖2)。然后只需要幾分鐘�,你的管理員賬號及密碼就會被分析出來(圖3)�����。
第二步:對于注入分析器的防范,筆者通過實驗,發現了一種簡單有效的防范方法。首先我們要知道SQL注入分析器是如何工作的�。在操作過程中���,發現軟件并不是沖著“admin”管理員賬號去的����,而是沖著權限(如flag=1)去的���。這樣一來����,無論你的管理員賬號怎么變都無法逃過檢測。
第三步:既然無法逃過檢測,那我們就做兩個賬號���,一個是普通的管理員賬號�����,一個是防止注入的賬號���,為什么這么說呢���?筆者想�,如果找一個權限最大的賬號制造假象�����,吸引軟件的檢測�,而這個賬號里的內容是大于千字以上的中文字符����,就會迫使軟件對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而死機�。下面我們就來修改數據庫吧�。
1.對表結構進行修改。將管理員的賬號字段的數據類型進行修改���,文本型改成最大字段255(其實也夠了,如果還想做得再大點��,可以選擇備注型)�,密碼的字段也進行相同設置。
2.對表進行修改。設置管理員權限的賬號放在ID1�,并輸入大量中文字符(最好大于100個字)����。
3.把真正的管理員密碼放在ID2后的任何一個位置(如放在ID549上)���。
我們通過上面的三步完成了對數據庫的修改�����。
本文主題涉及術語:SQL注入
