lovefei1027 发表于 2007-1-18 13:42:22

关于SQL注入的问题

昨天有个讨论的题,是关于sql注入的,在此发表自己的一些想法;

Sql注入应该就是通过Sql语句来进行恶意的侵入,进行删除表格等的一系列的动作给用户的数据库造成一定的问题;个人认为这种情况一般发生在WEB程序中较多,当用户通过表单输入数据,WEB服务器将用户输入的数据发送给DB服务器,而在此过程中,恶意的用户就能够通过表单进行插入SQL语句,给数据库造成问题;
预防方法:对进行数据库的操作语句进行验证,并通过一定的数据过滤器加以过滤,应该还有其他方法吧!
也不知道是不是这么回事,请各位大哥多多指导!

SQL在一些应用程序中会发生吗?又是个怎样的过程?

northdesert 发表于 2007-1-19 17:58:25

字符转义后,基本上注入不了了吧

qi_cy 发表于 2007-1-22 19:08:38

http://cherryqi.it.com.cn/articles/150391.htm
之前收藏了一片文章,可以去看看:)

hopkwins 发表于 2007-1-23 01:07:15

我自己的通俗理解,与大家分享!程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

lovefei1027 发表于 2007-1-23 11:52:02

谢谢各位
收获甚多

cdj0823 发表于 2007-1-24 16:41:55

比如,‘ 或 and 1=1等等的一些漏洞!可用instr
if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then
含义:比较 字符(空格)与字符(')在request("id")中的具体位置(进行二进制制比较),假如找到了(空格)与(‘)字符,那么就是then 后的语句!
页: [1]
查看完整版本: 关于SQL注入的问题