Nginx 防SQL注入

访客5年前 (2019-11-03)黑客文章855

SQL注入原理，在URI页面加参数查询数据库，假如程序没有严厉过滤字符串，就有或许导致SQL注入

咱们能够在前端Nginx过滤URI来避免SQL注入。装备如下

什么是URL和URI,举例说明:

衔接 http://www.abc.com/upload.php

URI: ?at=8

URL一般指?号前面的URL地址，URI指?号后边的参数

注: discuz需将show和update关键字撤销，不然无法登录，或获取验证码。

在 server {} 里参加以下内容:

if ($request_uri ~* (.*)(union%20| select%20|insert%20|delete%20|update%20|drop%20|show%20|truncate%20|alter%20|execute|'|;|%5c%2e)(.*)$) {

return 403;

}

curl 模仿拜访

# curl "http://www.test.com/index.php?select * from db.user"

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN" >

<html>

< head ><title>403 Forbidden< /title >< /head >

<h1>403 Forbidden< /h1 >

<p>You don't have permission to access the URL on this server.</body >

< /html >

回来HTTP CODE 403

标签: 黑客接单网诚信找黑客平台

返回列表

上一篇：服务器遇到大流量进犯的处理进程

下一篇：日本文化史（日本文化史家永三郎）

LimeRAT在野外传达

几天前，Cybaze-Yoroi ZLab安全团队遇到了一类风趣的感染链，它运用多种杂乱技能，能够绕过传统安全防御机制并躲藏其payload，对方针用户形成严重威胁。整个感染链始于一个LNK文件，运...

Sundown进犯套件的晋级

Exploit Kit职业现在正在发作新的调整，原先许多具有进犯性的缝隙进犯套件或许消失，或许市场份额削减，比方Nuclear EK和AnglerEK这样的职业大鳄几乎在同一时刻消失了，咱们估测这可能...

怎么高效使用你所“绑架”的HTTP会话？

HTTP会话绑架 HTTP是无状况的协议，为了保持和盯梢用户的状况，引入了Cookie和Session，但都是根据客户端发送cookie来对用户身份进行辨认，所以说拿到了cookie，就能够取得vic...

网易云音乐PC客户端加密API逆向解析

1、前语网上现已有许多的web端接口解析的办法了，可是对客户端的接口解析基本上找不到什么材料，本文首要剖析网易云音乐PC客户端的API接口交互方法。经过内部的署理设置，运用fiddler作为署理东...

子域名收集思路与技巧整理

前语本文合适Web安全爱好者，其中会说到8种思路，7个东西和还有1个小程序，看本文前需求了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。感谢我的老友龙哥的技巧大放送以及Or...

再度瞄准工控设备基础设施：针对TRITON歹意活动的详细分析

FireEye近期承认TRITON歹意活动正在针对一个新的要害基础设施建议进犯，咱们现在现已对该歹意行为采取了呼应办法。 2019年12月，FireEye揭露发布了咱们针对TRITON进犯的第一次剖析...

找黑客平台