如标题
这是怎么写进去的,该如何防范?
新闻的标题,内容,发布时间等,放到数据库里,最近发现,每天有内容被写入到存放新闻内容的字段,内容是超链接,含有html标记,新闻上传的接口已经删除了。数据在库里没有加密。
在主页显示新闻的标题,点击标题进入具体内容页面,……show.aspx?bianhao="+server.htmlencode(server.urlencode(id))……,id是数据库主键,在show页面根据id读取数据。只有这里访问了库。
感觉是服务器上有了木马,但不知道在哪里?这类问题纯粹不懂,是我程序的漏洞,还是我的数据库设置有漏洞?
------解决思路----------------------
sql注入呗,这么简单的问题。
------解决思路----------------------
攻击方式有sql注入,你可以先查下是不是连接在数据里就已经跟内容一起存了,如果是的话,是你没做xss攻击过滤,如果不是的话,就要看你的js是不是被攻击或者劫持了
------解决思路----------------------
没那么高深吧,哥觉得你这说被sql注入了。
------解决思路----------------------
有无使用sqlparamter对象传入参数,如果只是字符拼接,别人将参数改为1 delete 表名,不将你的表都删除了,简单的解决方案,数据库再建一只有读权限的用户,用此用户建一新连接,读数据就用此连接去读,没有update,insert,delete,权限,只有select的权限,别人也就动不了你的数据了
------解决思路----------------------
关闭写入权限