拷貝別人的
sql注入式攻擊是利用是指利用上的漏洞,在目標伺服器上執行
sql命令以及進行其他方式的攻擊
動態生成
sql命令時沒有對使用者輸入的資料進行驗證是
sql注入攻擊得逞的主要原因。
比如:如果你的查詢語句是select*fromadminwhereusername='"&user&"'andpassword='"&pwd&"'"
那麼,如果我的使用者名稱是:1'or'1'='1
那麼,你的查詢語句將會變成:
select*fromadminwhereusername='1or'1'='1'andpassword='"&pwd&"'"
這樣你的查詢語句就通過了,從而就可以進入你的管理介面。
所以防範的時候需要對使用者的輸入進行檢查。特別式一些特殊字元,比如單引號,雙引號,分號,逗號,冒號,連線號等進行轉換或者過濾。
需要過濾的特殊字元及字串有:
netuser
xp_cmdshell
/add
execmaster.dbo.xp_cmdshell
netlocalgroupadministrators
select
count
ascchar
mid':"
insert
deletefrom
droptable
update
truncate
from
%下面是我寫的兩種關於解決
注入式攻擊的
js版的
防範sql
注入式攻擊**~:
[codestart]
防範Sql注入式攻擊
sql注入式攻擊是指利用設計上的漏洞,在目標伺服器上執行sql 命令以及進行其他方式的攻擊 string name getuserinput bookname string script select table book where book name like name runsql scrip...
防範Sql注入式攻擊
sql注入式攻擊是指利用設計上的漏洞,在目標伺服器上執行sql 命令以及進行其他方式的攻擊 string name getuserinput bookname string script select table book where book name?like?n name runsql scr...
防範SQL注入式攻擊
防範sql注入式攻擊 jaron dot 2004年4月27日閱讀 461次 sql注入式攻擊是利用是指利用設計上的漏洞,在目標伺服器上執行sql命令以及進行其他方式的攻擊 動態生成sql命令時沒有對使用者輸入的資料進行驗證是sql注入攻擊得逞的主要原因。比如 如果你的查詢語句是select fro...