我将网站作为 ASP.net 作为前端,将 SQL Server 2005 作为后端。但是我在后端面临着一个非常奇怪的 SQL 注入。带有垃圾邮件站点的 HTML 的某些类型的 CSS 将它们的代码附加到我的网站数据库中,每个表和每个 varchar 类型列。例如
</title><style>.acoi{position:absolute;clip:rect(439px,auto,auto,439px);}</style><div class=acoi>Apply here <a href=http://gogopaydayloans.com>payday loans</a></div>
我尝试了所有这些事情。我检查过没有打开查询字符串参数。所有查询都在整个网站中参数化。我的 IIS 服务器日志未指定为此打开哪个页面。我该如何解决这个问题?
如果是这种情况,您是否从数据库中读取标题,那么 SQL 注入是罪魁祸首。
请寻找所有可能的意外插入、SQL 注入、Web 服务器受损等。
还请检查您的SQL Server日志,看看它是否未被破坏。这不能排除。
否则,如果没有太多细节,很难说它是 CODE、OS SERVER、WEB SERVER、SQL SERVER 2005 还是 XSS
更新:大多数垃圾邮件链接是 XSS 的结果,请确保您的表单验证所有输入。
更新:我还建议使用以下文章我希望您不要sp_executesql在代码中使用易受 sql 注入攻击的任何地方
http://taylorza.blogspot.ae/2009/04/sql-injection-are-parameterized-queries.html
尝试使用过滤数据库输入
System.Web.HttpUtility.HtmlEncode(strIn);