高分求助,sql 注入,高手请进
各位高手,帮小弟解答个问题:小弟最近在弄个网站,在网上经常到看,“sql注入”入侵网站,就了解了一下,我得到以下结论,不知对错,请各位给予指正,万分感谢!如下:我的理解s...
各位高手,帮小弟解答个问题:
小弟最近在弄个网站,在网上经常到看,“sql注入”入侵网站,就了解了一下,我得到以下结论,不知对错,请各位给予指正,万分感谢!如下:
我的理解 sql注入 就是通过网页漏洞,获取网站后台 管理用户名 和 密码,再检测出后台登陆地址,然后在登陆网站后台,上传木马等文件,从而控制网站。
请问是这样吗?
如果是这样的话,那把后台登陆页面删掉,需要登陆后台时再上传,这样是不是就可以解决sql注入问题? 虽然方法有些笨^_^
请各位高手给予解答,谢谢! 展开
小弟最近在弄个网站,在网上经常到看,“sql注入”入侵网站,就了解了一下,我得到以下结论,不知对错,请各位给予指正,万分感谢!如下:
我的理解 sql注入 就是通过网页漏洞,获取网站后台 管理用户名 和 密码,再检测出后台登陆地址,然后在登陆网站后台,上传木马等文件,从而控制网站。
请问是这样吗?
如果是这样的话,那把后台登陆页面删掉,需要登陆后台时再上传,这样是不是就可以解决sql注入问题? 虽然方法有些笨^_^
请各位高手给予解答,谢谢! 展开
展开全部
SQL注入就是利用SQL的语言特征来使SQL条件无效而已。
举个例子:
你登录检验的SQL代码是:
Select * Form User_DB where ID='你输入的ID' and PAS ='你输入的密码';
你知道一个人的ID但是不知道他的密码,可是你很想用他的密码来登录,怎么办呢?你可以输入他的ID,比如是0001。之后你再密码那一栏填写: aa' or 'a'='a
这样你得到的SQL语句就是这样的了:
Select * Form User_DB where ID='0001' and PAS ='aa' or 'a'='a';
虽然你写的密码是不符合标准的,但是条件多了一个“或者'a'='a'”,这个条件是永真的(意思就是说这个条件永远成立),那么你之前写了一万个条件只要有这么一个条件就全白搭。这样你就进去了。这就是最简单的SQL注入。
防止它也相当简单,就是在对库操作的时候禁止用户输入 and,or.....等等SQL关键字就好……网上查SQL防注入一大堆。
举个例子:
你登录检验的SQL代码是:
Select * Form User_DB where ID='你输入的ID' and PAS ='你输入的密码';
你知道一个人的ID但是不知道他的密码,可是你很想用他的密码来登录,怎么办呢?你可以输入他的ID,比如是0001。之后你再密码那一栏填写: aa' or 'a'='a
这样你得到的SQL语句就是这样的了:
Select * Form User_DB where ID='0001' and PAS ='aa' or 'a'='a';
虽然你写的密码是不符合标准的,但是条件多了一个“或者'a'='a'”,这个条件是永真的(意思就是说这个条件永远成立),那么你之前写了一万个条件只要有这么一个条件就全白搭。这样你就进去了。这就是最简单的SQL注入。
防止它也相当简单,就是在对库操作的时候禁止用户输入 and,or.....等等SQL关键字就好……网上查SQL防注入一大堆。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
那样我感觉也不行,关键是你的程序中用到了Sql 语句的拼接,如果都用存储过程速度快,而且不会出现这样的问题。
但是有时候又要用到拼接,就要做一些判断了。比如过滤一些攻击性的字符。
比如:exec.
当然我们在做queryString的时候我们传递数字就行,我们在另一页面进行验证。
呵呵。
但是有时候又要用到拼接,就要做一些判断了。比如过滤一些攻击性的字符。
比如:exec.
当然我们在做queryString的时候我们传递数字就行,我们在另一页面进行验证。
呵呵。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
