问题描述
网站的唯一注册入口是从微信关注号的菜单栏跳转过来的,带着每个微信号的唯一标识。我用微信号去查下是否已关注。未关注的不给予注册,已经关注并且没有注册的用户进行注册。现在有个奇怪的问题,我的注册只保存用户的手机号码,密码字段是直接值空的。但发现部分用户的注册账号有加密的密码,这是什么问题?我已经在Global.asax页面进行了关键字过滤,入库sql语句全部都是MySqlParameter防注入写法。我想知道用户是如何实现的?应该怎么防范?
解决方案
解决方案二:
用验证码防止啊
解决方案三:
引用楼主xia6641406的回复:
网站的唯一注册入口是从微信关注号的菜单栏跳转过来的,带着每个微信号的唯一标识。我用微信号去查下是否已关注。未关注的不给予注册,已经关注并且没有注册的用户进行注册。现在有个奇怪的问题,我的注册只保存用户的手机号码,密码字段是直接值空的。但发现部分用户的注册账号有加密的密码,这是什么问题?我已经在Global.asax页面进行了关键字过滤,入库sql语句全部都是MySqlParameter防注入写法。我想知道用户是如何实现的?应该怎么防范?
撸主,你的描述现象貌似是数据库被入侵了。如果你的注册语句就不涉及对密码字段的赋值,现在有值了,是不是可以断定不是通过你的注册入口注册进来的呢?!
解决方案四:
楼主的防注入写法是什么,如果还不懂得用参数化SQL的重要,自以为过滤了几个关键字是不行的.
解决方案五:
禁止远程修改注册表示例privatevoidbutton1_Click(objectsender,EventArgse){RegistryKeyreg=Registry.LocalMachine;//获取HKEY_LOCAL_MACHINE基项reg=reg.CreateSubKey("SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg");//打开winreg子项reg.SetValue("RemoteRegAccess",1,RegistryValueKind.DWord);//设置禁止远程修改reg.Close();//关闭该项MessageBox.Show("设置禁止成功!");}//codego.net/privatevoidbutton2_Click(objectsender,EventArgse){RegistryKeyreg=Registry.LocalMachine;//获取HKEY_LOCAL_MACHINE基项reg=reg.CreateSubKey("SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg");//打开winreg子项reg.SetValue("RemoteRegAccess",0,RegistryValueKind.DWord);//设置允许远程修改reg.Close();//关闭该项MessageBox.Show("设置启用成功!");}
解决方案六:
谁这么无聊。。。。。。。。。。。。。。。。。。。。。。。。
解决方案七:
可能是sql注入了
解决方案八:
再加更严格的防范
解决方案九:
注册码,还有不能连续注册,就是同一个IP连续注册时间必须有一定的间隔嘛