温县网站建设|网页设计|制作|网站优化_中国高端网站构建者
欢迎您来到豫温王朝科技
The dynasty Technology network service
首页 Home 关于我们 About Us网站建设 Site building广告宣传 advertising案例展示 Case联系我们 Contact Us

信息检索

网站建设的安全-SQL 注入

来源:豫温王朝科技 www.wangchaokeji.net 中国顶尖的品牌导向型高端网站构建者

SQL 注入


引起原因:
其实现在很多网站中都存在这种问题。就是程序中直接进行SQL语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明:
code:
     验证时的sql语句: select * from where user='"+txtUsername.Text+"' and pwd='"+txtPwd.Text+"'
这是一段从数据库中查询用户,对用户名,密码验证。
看上去好象没有什么问题,但是实际这里面浅藏着问题,用户名:admin 密码: admin,
select * from where user='admin' and pwd='admin'
如果用户和密码正确就可通验证。如果我用户名:asdf' or 1=1 -- 密码:随意输入.
我们再来看语句:
select * from where user=‘asdf' or 1=1 -- and pwd=''
执行后看到什么 是不是所有记录,如果程序只是简单判断返回的条数,这种方法就可以通验证。
如果执行语句是SA用户,再通过xp_cmdshell添加系统管理员,那么这个服务器就被拿下了。
解决方法:
(1):这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
(2):使用存储过程通过传入参数的方法可解决此类问题(注意:在存储过程中不可使用拼接实现,不然和没用存储过和是一样的)。
 
>相关资料,您还可以使用[百度一下] [谷歌一下] [SOSO一下 [搜狗一下] [360一下]
网站建设的安全-XSS(跨站脚本攻击) 网站建设的安全-CSRF(跨站点请求伪造)
网站建设的安全-文件上传
------分隔线----------------------------
哇塞!竟然被鼠标猛击了:
案例展示:
红色系曲线导航商业网站
红色系曲线导航商业网站
房地产招商企业网站内页商业人士手托笔记本电脑
房地产招商企业网站内页商业人士
红色系书本翻页商业网站
红色系书本翻页商业网站
粉色系女性美容美肤网站
粉色系女性美容美肤网站
红色系银白渐变质感商业网站
红色系银白渐变质感商业网站
红色系清新餐饮网站
红色系清新餐饮网站
灰色金属质感酒店闹钟明星代言沙发展示企业网站
灰色金属质感酒店闹钟明星代言沙
红色系白色小人儿商业网站
红色系白色小人儿商业网站