Nginx 防SQL注入

访客5年前 (2019-11-03)黑客文章816

SQL注入原理，在URI页面加参数查询数据库，假如程序没有严厉过滤字符串，就有或许导致SQL注入

咱们能够在前端Nginx过滤URI来避免SQL注入。装备如下

什么是URL和URI,举例说明:

衔接 http://www.abc.com/upload.php

URI: ?at=8

URL一般指?号前面的URL地址，URI指?号后边的参数

注: discuz需将show和update关键字撤销，不然无法登录，或获取验证码。

在 server {} 里参加以下内容:

if ($request_uri ~* (.*)(union%20| select%20|insert%20|delete%20|update%20|drop%20|show%20|truncate%20|alter%20|execute|'|;|%5c%2e)(.*)$) {

return 403;

}

curl 模仿拜访

# curl "http://www.test.com/index.php?select * from db.user"

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN" >

<html>

< head ><title>403 Forbidden< /title >< /head >

<h1>403 Forbidden< /h1 >

<p>You don't have permission to access the URL on this server.</body >

< /html >

回来HTTP CODE 403

标签: 黑客接单网诚信找黑客平台

返回列表

上一篇：服务器遇到大流量进犯的处理进程

下一篇：日本文化史（日本文化史家永三郎）

TA505在最新攻击活动中使用HTML, RAT和其他技术-黑客接单平台

TA505以运用歹意垃圾邮件和不同的歹意软件来进犯金融安排和零售企业而臭名远扬。研究人员在曩昔2个月检测到与TA505相关的进犯活动。在该安排的最近活动中，运用了HTML附件来传达歹意XLS文件，XL...

某入群题之指令履行字符约束绕过（WEB100）

某入群题又来啦！因为之前刚好做了下hitcon的两个指令履行绕过，问了下pcat能不能写这篇文章。然后他说随意我…..这儿就记载一下。看题！相似前次的两题，仅仅这次字符长度约束变成了20。心中一喜，...

运用Python CGIHTTPServer绕过注入时的CSRF Token防护

CSRF tokens是服务器生成的一串随机值，其主要作用是防止表单重复提交以及恳求假造进犯。由于该生成值具有随机性，一次性，而且是根据服务器端的前一个恳求生成的，因而黑客简直不可能假造它。 Burp...

Java Web 工程源代码安全审计实战，第 1 部分: 跨站 XSS

Java Web 运用安全问题日益严峻。源代码审计能够防备于未然。源代码审计人员要经过实战审计练习，才干熟练掌握 Java Web 源代码安全思路和技巧。前语 Web 运用是互联网运用的重要方式...

一份来源未知的数据，揭秘了OilRig组织的全部信息（下）-黑客接单平台

Webshells Webshell用于与受感染服务器交互。走漏数据中包含了三个webshell，分别为HyperShell、HighShell和Minion，Minion很可能是HighShell的...

怎么避免网站要害数据被人歹意收集

昨天晚上花了几个小时用Jsoup写了一个网站收集器，帮一个高中同学收集了一个工业信息门户上的芯片待售信息。网站上显现的数据多达60w+条，我写的程序跑了7个小时只收集了一半，算是能够交差了。这现...

找黑客平台