擅长:python、mysql、java
<p>我不知道这是否适用,但我只是把它放在那里的完整性,专家可以随意否决我。。。更不用说我对它在某些情况下的表现有顾虑。在</p>
<p>有一次我的任务是保护一个用传统asp编写的老化的web应用程序,以防止sql注入(当时它们受到了相当严重的打击)</p>
<p>我没有时间浏览所有的代码(不是可能的选择),所以我在一个标准的include文件中添加了一个方法,查看用户提交的所有内容(遍历请求参数),并检查是否有黑名单的html标记(例如脚本标记)和sql注入符号(例如“;--”和“';shutdown“)。。在</p>
<p>如果它发现一个,它重定向用户告诉他们,他们的提交是可疑的,如果他们有一个问题的电话或电子邮件。。废话。在</p>
<p>它还将注入尝试记录在一个表中(一旦被转义)以及攻击的IP地址时间等详细信息。。在</p>
<p>总的来说,这是一种享受。。至少袭击停止了。在</p>
<p>我使用过的每一种网络技术都有一些类似的东西,我只花了一天的时间来开发和测试。。在</p>
<p>希望有帮助,我不会称之为行业标准或其他任何东西</p>
太长了,读不下去了?:
根据字符串黑名单检查所有请求参数</strong></p>