SQL通用防注入程序 20091206版

本不打算对这个小东东做更新了,不过还是经常收到一些朋友的咨询,以及在使用中遇到了一些问题,今天又收到朋友来信问关于这个东东的问题,正好今天公司值班也没啥事情,就顺手更新一下了。顺便统一在对以前一些朋友提出的问题做下解答。

主要解决了以下几个问题:

  1. 更新搜索引擎跳转引起的误报。其实这个是由于之前的默认的过滤规则中有%的缘故,如果有的网站统计了访问来源的话,就有可能导致搜索引擎过来的访客报sql注入,无法访问,20091206版中删除了对于%和*的过滤。
  2. 修改数据库访问路径为绝对路径。原来的是采用虚拟路径访问数据库的,如果有的朋友部署的目录比较奇怪的话,可能会导致找不到sql防注入的数据库,20091206版本不会有这个问题了,可以支持将数据库放之非web目录。
  3. 修改原来的安全页面功能为安全表单。原来的安全页面功能是为了防止后台添加数据的时候,存在sql注入过滤关键字字符而设置了,本版本修改了安全页面功能为安全表单,将误报白名单细化到了表单。使用方法:如果发现本系统影响了你的网站正常的添加数据,可以将你认为安全的表单添加至安全表单,可通过管理页面查看影响的参数,然后将其添加至后台管理-》参数设置中的安全表单,并启用安全表单即可。
  4. 对后台界面做了优化,实在看不下去以前的后台界面了,太丑了。

代码继续托管至Google,访问地址:http://code.google.com/p/defencesqlinject/

本地下载:/attachments/sql_20091206.rar

如果使用过程中发现问题,请留言或者Email给我。

此为免费程序,可随意使用,不过由于本人已工作,时间有限,恕不提供免费服务,请见谅。

SQL通用防注入程序 20091206版》上有57条评论

  1. xqygng

    请问这个程序修改好数据库路径和名字后,怎么安装?是直接拷贝到网站目录里还是?安装在网站文件的什么目录里呢?谢谢!

    回复
  2. 333

    本来打算删除的。由于很多通过搜索过来的老是被过滤掉。没想到今天来看看竟然有新版和第一个问题解决了。谢谢!

    回复
  3. Neeao

    [quote=xqygng]请问这个程序修改好数据库路径和名字后,怎么安装?是直接拷贝到网站目录里还是?安装在网站文件的什么目录里呢?谢谢![/quote]
    安装在网站任意目录里,然后通过后台管理页面查看当前目录的绝对路径,修改下sql注入主文件的数据库绝对路径就可以了。

    回复
  4. xqygng

    neeao真是辛苦了,今天我用了你们的程序。请允许我提点建议和我的感想。请你们再接再厉,不断改善,我会永远支持的!
    我把你们的程序弄好了,是完全可以使用的,但是我测试了一下。

    第一,我在我要防注入的页面加上了这个功能后,但注入漏洞还是存在,只是要提示入侵者而已。

    第二,我在IE里用手工注入的方法时,你们程序才管用。当我用阿D之类的注入工具来测试时,根本就一点用也没有是,只是登陆程序的后台后能看到记录入侵者的IP地址。

    第三,我选的处理方式是直接关闭网站。但弹出警告后,网站不会自动关闭,而是弹一个选择是和否的对话框让用户选择,而我选择否的话,网站部会关闭。假如我是入侵者,我大脑有病我才会选择是。

    总的来说,今天测试了一下午后,给我的感觉是,你们的程序做的很好,但是不周到,根本防不了入侵者,但是记录IP着个功能很好。现在还没测试怎么避免记录IP的方法。给我的感觉是在自欺欺人,呵呵!我是着为一个用户来评价的。总之你们很辛苦,很感谢你们的无私。

    回复
  5. Neeao

    [quote=xqygng]neeao真是辛苦了,今天我用了你们的程序。请允许我提点建议和我的感想。请你们再接再厉,不断改善,我会永远支持的……[/quote]
    这位朋友,不知道你是怎么来判断注入成功了的?

    回复
  6. yg

    老大,我下载了你的这个最新版的,总是提示 服务器错误 代码为500。请问是什么原因 啊?

    回复
  7. Neeao

    [quote=yg]老大,我下载了你的这个最新版的,总是提示 服务器错误 代码为500。请问是什么原因 啊?[/quote]你看下你的数据库路径设置的对不对?目前的数据库路径是磁盘的绝对路径。

    回复
  8. sniperhg

    看了6楼,我内牛满面。。。
    虽然这个版本没有测试,但是neeao早先的通用防注使用了是可以防止注入。
    6楼朋友所谓的注入成功,是如何分辨的呢?

    回复
  9. 以前网站一直注入,用了10天没问题,10天后就出现问题了
    为什么我用了这个程序,我主页能进去在点文章就提示非法参数

    并且我是3个域名在同一个网站,我的COM。CN就没问题 可我的。COM就出现这问题

    你们挺辛苦的,谢了

    回复
  10. Neeao

    [quote=冰]以前网站一直注入,用了10天没问题,10天后就出现问题了
    ……[/quote]你把你的域名点击的URL看下是否有关键字中的字符

    回复
  11. hsl

    neeao辛苦了,首先我非常感谢你的无私,提供了这么好的SQL注入程序,我是一名菜鸟,此程序对我的帮助很大且非常的实用深受大家的喜爱!但是经过切身的实用,确实是存在6楼所说的情况,今天我的站点所有字段都被注入,非常的懊恼,垦请你们在检验实际应用,做到真正防SQL注入,微略更新完善,我会永远支持你的!

    叩谢
    一个深受其害者!

    回复
  12. 磁盘路径填写什么?
    买的虚拟主机空间,我的数据库到MYDATA目录下
    SqlIn.mdb这个数据库是做什么的
    我菜鸟,请教下
    怎么填写数据库路径

    回复
  13. 风的样子

    xqygng
    2009-12-17, 16:54
    用了防注入程序后用阿D等注入工具照样注入成功。
    我测试就不可以,没加上防注入就可以注入!加上后就没办法探测,只要探测就被封ip,我不知道你用的是那个版本!我用2.32版!

    回复
  14. 风的样子

    Neeao :安全表单不起作用,设为启用后安全表单处为空后,全部失去防注入效果!

    回复
  15. Neeao

    [quote=风的样子]Neeao :安全表单不起作用,设为启用后安全表单处为空后,全部失去防注入效果![/quote]请暂时关闭安全表单功能。[quote=hsl]neeao辛苦了,首先我非常感谢你的无私,提供了这么好的SQL注入程序,我是一名菜鸟,此程序对我的帮助很大且非常的实用深受大家的喜爱!但是经过切身的实用,确实是存在6楼所说的情况,今天我的站点所有字段都被注入,非常的懊恼,垦请你们在检验实际应用,做到真正防SQL注入,微略更新完善,我会永远支持你的!
    叩谢
    一个深受其害者![/quote]
    请暂时关闭安全表单功能,看看是否还会被注入。

    回复
  16. 风的样子

    关闭安全表单可以防注,但是后台也出现问题,所以我在用后台录入数据时开启安全表单!

    回复
  17. Neeao

    [quote=风的样子]关闭安全表单可以防注,但是后台也出现问题,所以我在用后台录入数据时开启安全表单![/quote]你开启安全表单的时候,是不是安全表单为空呢?如果为空的话,那就对了。

    回复
  18. godchrist

    如果网站服务器和数据库服务器是分开的 怎么用你的防注入程序?

    回复
  19. Neeao

    [quote=godchrist]如果网站服务器和数据库服务器是分开的 怎么用你的防注入程序?[/quote]防注入安装在网站源码上即可。

    回复
  20. ve100

    老大,首先非常感谢你,让我看到希望。但是我用的你的SQL通用防注入系统3.1最终纪念版,结果还是被SQL注入了。网站数据全被script之类毁掉!该网站现已经停了、费了。www.herfair.com很多数据恢复不了啦。可参观人工恢复部分后的惨状。

    回复
  21. AMLIMSE

    这个防注很管用,可是还是有些问题。
    一是,如果网站上有无组件上传,很容易被拦。。。不易解决。
    二是,可否设置数据库目录可选两种方式,一是绝对路径,二是相对路径。因为很多网站是放在服务器上的,大多数人都不知道网站在服务器上的绝对路径。

    回复
  22. 可怜的网站管理员

    谢谢Neeao大大分享

    本人的网站几乎每时每刻都被攻击啊,惨啊!
    经常被人注入google的广告呢,这边还原,不到一小时又被注入了,唉!!

    回复
  23. 刘先生

    Microsoft JET Database Engine 错误 ‘80040e57’

    字段太小而不能接受所要添加的数据的数量。试着插入或粘贴较少的数据。

    D:\FREEHOST\QUXNLUTION\WEB\SEARCH\../sql/Neeao_SqlIn.Asp,行 126

    能帮我看看是怎么回事吗?

    回复
  24. 老创龙

    为甚麽我打开后台使用设置后,按提交却无法显示网页?

    回复
  25. njgov

    首先感谢老大的程序!这里提个疑问就是弹出的警告提示问并非设置输入的信息!而是程序中的提示信息,这个需要怎么才能显示设置的提示信息?

    回复
  26. thankyou

    今天试用了你的的这个程序,结果发现,需要过滤的字符能够完整的记录数据库,并且这个程序不会提示,也不会记录,当然就不会封IP了.不知道为什么

    回复
  27. dmn

    1、安全表单具体是指什么?能否举个列子,我试了好像没有效果。
    2、我有个留言簿程序,有人用英文留言,其中有个单词 hand ,这个单词因为包含and而导致留言者的ip被封,这好像有点不妥吧?

    回复
  28. 阿龙

    用了这个版本后,总是访问被锁定或不能访问
    提交方式 总是 Cookies
    造成自已不能访问网站
    望解决!

    QQ:314588993

    回复
  29. 大寨小子

    [quote=dmn]1、安全表单具体是指什么?能否举个列子,我试了好像没有效果。
    2、我有个留言簿程序,有人用英文留言,其中有个单词 hand ,这个单词因为包含and而导致留言者的ip被封,这好像有点不妥吧?[/quote]

    我也碰到了这样的问题,还请帮忙解决!

    回复
  30. 明哥

    作者你好,你自己看一下,SQL防注入,你的程序关于安全表单的事情,有多少回复人有问题,包括我,原因只有一个,因为不知道安全表单的格式

    你在程序里说安全表单是用\”|\”来分开,可是\”|\”分开不生效

    例如“XXXXXXX|JJJJJJJJJJJJ”只有前面的XXXXXX能生效,后面的JJJJJ不生效,估计是我们的填写格式有问题,我身边好多好多菜鸟都碰到上述的问题
    我希望作者可以花一点时间告诉我们的格式!!其实也不花你多少时间,希望你真的对自己软件负责,这个程序除了就这个有问题,基本就完美了,你不回复,我一天会来一次,直到你回复为止!你知道你时间好保贵,但是没办法,如果你说要钱,要没所谓,只要你肯回复,100元以内,我还是可以的
    谢!

    回复
  31. Neeao

    [quote=明哥]作者你好,你自己看一下,SQL防注入,你的程序关于安全表单的事情,有多少回复人有问题,包括我,原因只有一个,因为不知道安全表单的格式
    ……[/quote]
    安全表单是用|分开,没有引号的,你再试试吧。

    所谓的安全表单的概念就是,通用防注入过滤表单提交参数的时候,不会对这些表单参数过滤,防止某些表单中有程序过滤设置的关键字而导致程序误报。

    回复
  32. mrn

    出错后的处理方式 警告后跳转好像不起左右。。希望更新下、谢谢

    回复
  33. 广州医药网

    我按照你的方法安装了,但访问不了啊~~怪啊~

    路径我已经设成绝对路径的了,有几点想请教下
    我网站文件放在 D:\web\myweb
    那按照你文件上的设置应该是

    path = “D:\webmyweb\Neeao.com\” ‘数据库在磁盘上的路径
    db =”D:\webmyweb\Neeao.com\” ‘记录数据库路径修改为你的数据库路径

    这样有错吗?谢谢

    同问····

    回复
  34. 网管理

    防注文件放到 Conn.asp=(< %@LANGUAGE="JAVASCRIPT" CODEPAGE="CP_ACP"%>)文件中出错,无法解决!!

    回复
  35. 网管理

    防注文件放到 Conn.asp=(< %@LANGUAGE="JAVASCRIPT" CODEPAGE="CP_ACP"%>)文件中出错,无法解决!!

    回复
  36. 崇拜你

    你这个程序完善得非常不错,用起来也方便,但我有一个小小的想法,如果能进一步加以完善应该会更完美,那就是,现在的这个通用SQL防注入主要是针对IP号来进行锁定,IP号是可以手动变换,现在有一些机器注册程序,IP号是可以灵活变化的,若防注入程序能由现在的针对IP号进行锁定,转变到将MAC地址锁定,将能起到根本的作用。拥有了MAC地址锁定功能后,用户就可以根据自己的需求对电脑的物理地址进行锁定。

    回复
  37. 菜鸟

    作者你好,你这个程序完善得非常不错,但有一问题希望能得到你的解答:攻击者的IP被锁定后,所有的IP都无法访问网站,都提供那个:阻止访问提示信息 很奇怪,希望能得到解答,谢谢

    回复
  38. 菜鸟

    关于网站被攻击后锁定IP,导致所有IP无法访问网站的问题找到了答案,原来锁定的IP不是攻击者的IP,而是本网站所在的服务器的IP地址,晕了,怎么会这样,即是我换了IP后第二次攻击,被锁定的IP还是那台网站服务器的IP,盼望解答原因,谢谢!

    回复
  39. 墨灵

    我想在全站防注入,所以加到了conn.asp中,而且加到了最底部,结果网站首页就是一片空白,但第一行是几个乱码!请问老大怎么回事啊

    回复
  40. selenwoo

    如果是通过ajax异步提交的数据就没有被过滤,这个怎么解决防注入。

    回复
  41. sqlfuking

    发现这个程序不能过滤第二个参数或者表单第一个输入项之以后的输入项。

    回复
  42. 网络

    183.2.138.205 已解锁 /Class.asp Cookies sin1258369 D:我淘宝东西装修用新建文件夹 (2)201104181543482316模板预览.htm 使用这个防注入为什么连这个也会防呢?

    回复
  43. 网络

    203.208.60.163 已解锁 /Html/index.asp Get 319.html?bcastr_title 娣樺疂搴楅摵瑁呬慨鍥剧墖宸︿晶鍒嗙被绱犳潗(鏈嶈绯诲垪) 使用这个防注入为什么连这个也会防呢?程序有什么不对劲吗

    回复
  44. 红魔

    首先感谢Neeao发布的这个系统。我是用的虚拟主机,此数据库的绝对路径就不得而知了,所以请问下该怎么更改路径,谢谢

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注