我的网站为ASP.net作为前端,SQL Server 2005作为后端。但是我的后端面临一个非常奇怪的SQL注入。某些带有垃圾邮件站点的HTML的CSS会将其代码附加到我的网站数据库中,每个表和每个varchar类型列。 例如,
</title><style>.acoi{position:absolute;clip:rect(439px,auto,auto,439px);}</style><div class=acoi>Apply here <a href=http://gogopaydayloans.com>payday loans</a></div>
我尝试了所有这些事情。我检查过没有查询字符串参数是打开的。所有查询都在整个网站中进行参数化。我的IIS服务器日志没有指定为此打开哪个页面。我应该如何解决这个问题?
答案 0 :(得分:0)
如果是这种情况,你是否正在从数据库中读取标题,那么SQL注入是罪魁祸首。
请查找所有可能性事故插入,SQL注入,Web服务器泄露等。
还请检查您的 SQL Server 日志,看看是否没有泄露。这不能排除。
否则很多细节很难说天气是CODE,OS SERVER,WEB SERVER,SQL SERVER 2005或XSS
更新:主要是垃圾邮件链接是XSS的结果,请确保您的表单验证所有输入。
更新:我还建议使用以下文章我希望你的代码中没有sp_executesql使用易受sql注入攻击的地方
http://taylorza.blogspot.ae/2009/04/sql-injection-are-parameterized-queries.html
答案 1 :(得分:-1)
尝试使用
过滤数据库输入System.Web.HttpUtility.HtmlEncode(strIn);