Nginx 防SQL注入

访客6年前 (2019-11-03)黑客文章871

SQL注入原理，在URI页面加参数查询数据库，假如程序没有严厉过滤字符串，就有或许导致SQL注入

咱们能够在前端Nginx过滤URI来避免SQL注入。装备如下

什么是URL和URI,举例说明:

衔接 http://www.abc.com/upload.php

URI: ?at=8

URL一般指?号前面的URL地址，URI指?号后边的参数

注: discuz需将show和update关键字撤销，不然无法登录，或获取验证码。

在 server {} 里参加以下内容:

if ($request_uri ~* (.*)(union%20| select%20|insert%20|delete%20|update%20|drop%20|show%20|truncate%20|alter%20|execute|'|;|%5c%2e)(.*)$) {

return 403;

}

curl 模仿拜访

# curl "http://www.test.com/index.php?select * from db.user"

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN" >

<html>

< head ><title>403 Forbidden< /title >< /head >

<h1>403 Forbidden< /h1 >

<p>You don't have permission to access the URL on this server.</body >

< /html >

回来HTTP CODE 403

标签: 黑客接单网诚信找黑客平台

返回列表

上一篇：服务器遇到大流量进犯的处理进程

下一篇：日本文化史（日本文化史家永三郎）

Discuz!ML v.3.X Code Injection Vulnerability Analysis-黑客接单平台

0x1 前语 (Foreword) 原本我今日想学经过剖析下Fastjson反序列化缝隙学习java,还有研讨下php混杂解密和底层hook技能的,可是今日看到在群里看了这篇文章Discuz!ML v...

LimeRAT在野外传达

几天前，Cybaze-Yoroi ZLab安全团队遇到了一类风趣的感染链，它运用多种杂乱技能，能够绕过传统安全防御机制并躲藏其payload，对方针用户形成严重威胁。整个感染链始于一个LNK文件，运...

我是怎么绕过Uber的CSP防护成功XSS的？

咱们好！在开端正式的内容之前，请答应我做个简略的毛遂自荐。首要，我要阐明的是我不是什么安全研究人员/安全工程师，切当的来说我是一名安全的爱好者，这始于两年前的Uber。我喜爱触摸新的事物，而且每天都在...

2019 神盾杯 final Writeup（二）-黑客接单平台

前语接之前的剖析文章，本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。 web3 预置后门扫描翻开源码发现是干流cms typecho，先上东西扫一波：一起注意到版别号：依...

Web缓存操控战略详解

Cache-Control 办理Web缓存的最常用和最有用的办法之一是经过Cache-Control HTTP标头，由于此标头适用于Web页面的缓存，这意味着咱们页面上的一切内容都能够具有十分精细化的...

DVNA：Node.js打造的开源攻防渠道

这是一款仍在活跃研制中的软件，假如你想要现在测验它现有缝隙，需求确保自己添加了Express结构。 DVNA简介首要，期望咱们多多支撑UX/UI，协助咱们修正bug和优化文档。 DVNA（Damn...

找黑客平台