欢迎来到福编程网,本站提供各种互联网专业知识!
手机版
微信关注
快捷导航
正则表达式 AJAX相关 黑客相关 相关技巧 Mysql MsSql MsSql2005 MsSql2008 MariaDB Oracle Access SQLite PostgreSQL MongoDB DB2 Redis 数据库文摘 数据库其它 LINUX RedHat/Centos Ubuntu/Debian Fedora Solaris 红旗Linux Unix/BSD 苹果MAC 麒麟系统 注册表 BIOS 系统安装 系统进程 Fireworks教程
您的位置:网站首页 > 网络编程 > 相关技巧

防范SQL注入式攻击

发布时间:2009-07-07 作者: 来源:转载
标签: 雪佛兰 通用 奢华 劳斯莱斯 旗舰版 64位 收藏夹 解调器
SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
比如:
如果你的查询语句是select * from admin where username="&user&" and password="&pwd&""
那么,如果我的用户名是:1 or 1=1
那么,你的查询语句将会变成:
select * from admin where username=1 or 1=1 and password="&pwd&""
这样你的查询语句就通过了,从而就可以进入你的管理界面。
所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
需要过滤的特殊字符及字符串有:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid

:
"
insert
delete from
drop table
update
truncate
from
%
下面关于解决注入式攻击的防范代码,供大家学习参考!
js版的防范SQL注入式攻击代码:

网站首页  | 关于我们  | 免责声明  | 广告合作  | 联系我们
Copyright @ 2015-2024 福编程 fuphp All Rights Reserved.
豫ICP备15036959号-4