Nginx 防SQL注入

访客5年前 (2019-11-03)黑客文章846

SQL注入原理，在URI页面加参数查询数据库，假如程序没有严厉过滤字符串，就有或许导致SQL注入

咱们能够在前端Nginx过滤URI来避免SQL注入。装备如下

什么是URL和URI,举例说明:

衔接 http://www.abc.com/upload.php

URI: ?at=8

URL一般指?号前面的URL地址，URI指?号后边的参数

注: discuz需将show和update关键字撤销，不然无法登录，或获取验证码。

在 server {} 里参加以下内容:

if ($request_uri ~* (.*)(union%20| select%20|insert%20|delete%20|update%20|drop%20|show%20|truncate%20|alter%20|execute|'|;|%5c%2e)(.*)$) {

return 403;

}

curl 模仿拜访

# curl "http://www.test.com/index.php?select * from db.user"

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN" >

<html>

< head ><title>403 Forbidden< /title >< /head >

<h1>403 Forbidden< /h1 >

<p>You don't have permission to access the URL on this server.</body >

< /html >

回来HTTP CODE 403

标签: 黑客接单网诚信找黑客平台

返回列表

上一篇：服务器遇到大流量进犯的处理进程

下一篇：日本文化史（日本文化史家永三郎）

运营商互联网事务暴出面安全

关于一个战士来说，最大的愿望便是能上战场真刀实枪的干上一战，相同关于一名安全人员来说，自己规划、建造的通过层层防护的系统，假如没有经历过一次进犯，难免有点索然寡味。在许多的甲方傍边，运营商互联网事务暴...

那些年挖过的SRC之我是捡漏王

输出这篇文章的意图也是为了很多人在挖洞时，看到其他大佬钱拿的不要不要的时分，只能在咱们自己自己电脑面前束手无策，这篇文章也是为了带咱们翻开新的思路。俗话说得好，“不是你套路不行深，是你的根底不行厚...

色情广告挂马剖析：记一次挂马与挖矿之间的“密切触摸”

1. 布景：近来，腾讯安全反病毒实验室发现，有一类木马经过网页广告挂马的方法大规划传达。广告内容为色情链接，诱导用户点击。链接中嵌入了一段触发IE缝隙的JS脚本，假如用户电脑的IE浏览器没有及时打好...

一份来源未知的数据，揭秘了OilRig组织的全部信息（下）-黑客接单平台

Webshells Webshell用于与受感染服务器交互。走漏数据中包含了三个webshell，分别为HyperShell、HighShell和Minion，Minion很可能是HighShell的...

Kerberos中继攻击：滥用无约束委派（下）-黑客接单平台

上一篇文章，我只讲了中继进犯的基本理论，这篇文章，我会举两个示例来及详细阐明。示例1：运用计算机帐户和SpoolService缝隙获取DC同步权限在第一种情况下，咱们将乱用我的internal.c...

运用Python检测并绕过Web应用程序防火墙

Web运用防火墙一般会被布置在Web客户端与Web服务器之间，以过滤来自服务器的歹意流量。而作为一名浸透测验人员，想要更好的打破方针体系，就有必要要了解方针体系的WAF规矩。现在，许多WAF都是根据签...

找黑客平台