关于SQL注入的问题
昨天有个讨论的题,是关于sql注入的,在此发表自己的一些想法;Sql注入应该就是通过Sql语句来进行恶意的侵入,进行删除表格等的一系列的动作给用户的数据库造成一定的问题;个人认为这种情况一般发生在WEB程序中较多,当用户通过表单输入数据,WEB服务器将用户输入的数据发送给DB服务器,而在此过程中,恶意的用户就能够通过表单进行插入SQL语句,给数据库造成问题;
预防方法:对进行数据库的操作语句进行验证,并通过一定的数据过滤器加以过滤,应该还有其他方法吧!
也不知道是不是这么回事,请各位大哥多多指导!
SQL在一些应用程序中会发生吗?又是个怎样的过程? 字符转义后,基本上注入不了了吧 http://cherryqi.it.com.cn/articles/150391.htm
之前收藏了一片文章,可以去看看:) 我自己的通俗理解,与大家分享!程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 谢谢各位
收获甚多 比如,‘ 或 and 1=1等等的一些漏洞!可用instr
if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then
含义:比较 字符(空格)与字符(')在request("id")中的具体位置(进行二进制制比较),假如找到了(空格)与(‘)字符,那么就是then 后的语句!
页:
[1]