| « | July 2025 | » | | 日 | 一 | 二 | 三 | 四 | 五 | 六 | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | | |
|
| 公告 |
|
My blog is about my major : network security.the most papers are talk about it ,I like my major ,i wish you could find what's you need in it. |
| 统计 |
blog名称:我的IT人生
日志总数:78
评论数量:185
留言数量:-1
访问次数:523161
建立时间:2006年4月5日 |
| 
|
本站首页 管理页面 写新日志 退出
 [network security]著名的SQL注入攻击法 (转) |
我们在编程过程中,经常会把用户输入的数据拼成一个SQL语句,然后直接发送给服务器执行,比如:string SqlStr = "select * from customers where CompanyName Like '%" + textBox1.Text + "%'";这样的字符串连接可能会带来灾难性的结果,比如用户在文本框中输入:a' or 1=1 --那么SqlStr的内容就是:select * from customers where CompanyName like '%a' or 1=1 --%'这样,整个customers数据表的所有数据就会被全部检索出来,因为1=1永远true,而且最后的百分号和单引号被短横杠注释掉了。如果用户在文本框中输入:a' EXEC sp_addlogin 'John' ,'123' EXEC sp_addsrvrolemember 'John','sysadmin' --那么SqlStr的内容就是:select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John','123' EXEC sp_addsrvrolemember 'John','sysadmin' --这个语句是在后台数据库中增加一个用户John,密码123,而且是一个sysadmin账号,相当于sa的权限。如果用户在文本框中输入:a' EXEC xp_cmdShell('format c:/y') --运行之后好像是格式化C盘!还有很多更危险的操作,不过都没试过。还是存储过程好用啊,存储过程的参数把用户的输入当成真正的字符串处理,既安全,又快速!
转自:http://blog.sina.com.cn/s/blog_4a668047010005d7.html
|
阅读全文(2781) | 回复(0) | 编辑 | 精华 |
|
