100%
|
阅读:2241回复:1
海洋CMS数据库挂马终极防御方法(MYSQL触发器使用实例)为什么叫终极呢?因为这个方法是从SQL层面入手与程序无关,原理是利用SQL提供给我们的触发器功能,在数据更新前对数据进行检测含有危险字符就进行拦截,除非黑客有数据库root权限,否则是不能修改我们设置的触发器规则的。 操作步骤:
表:sea_data 时机:BEFORG (BEFORG 是执行前,AFDER是执行后) 事件:UPDATE 定义: SQL BEGIN IF NEW.v_name LIKE '%script%' OR NEW.v_pic LIKE '%script%' OR NEW.v_spic LIKE '%script%' OR NEW.v_actor LIKE '%script%' THEN SIGNAL SQLSTATE 'HY000' SET MESSAGE_TEXT = '请勿输入非法字符!'; END IF; END 用户:留空
 我们来测试一下: SQL update sea_data set v_pic = 'https://xx.com/xx.jpg "></script><script/**' WHERE v_id=1
OK,说明设置成功,如果没有出现出错提示而是正常执行,那么请检查下步骤并恢复被修改的数据。 来源:安全E站 |
|
最新喜欢: zdjzdr
|
