网站是http://www.smmzj.gov.cn
接公安部门通知,说我的网站存在许多漏洞,大量的SQL注入漏洞,我用webscan.360.cn检测出一个安全漏洞,打了补丁并修复语句后解决,现在检测是100分安全。
并没有注入漏洞,用注入检测工具也没有查出来。可能是我技术不行。
求各位大师帮我检测一下该网站是否存在漏洞?又如何修复?
理论上说,没有没有漏洞的程序。市面上的检测软件只不过是针对一些已知的常见的漏洞进行一个检测。而且程序也有误判。
如果你想杜绝sql注入,就不要拼接字符串作为sql,而是用存储过程或者参数
另外sql注入只是一方面,比如你服务器本身的安全,上面各层软件的漏洞等等,包括管理员或者用户自身密码的泄露都会有问题。
你们公司网站上线不需要安全扫描吗?
防sql注入,把所有参数参数化
SqlParameter[] parameters ={new SlqParameter("@aaa",aaa),new SqlParameter().......}