51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1265|回复: 5
打印 上一主题 下一主题

关于SQL注入的问题

[复制链接]
  • TA的每日心情
    慵懒
    2016-9-3 13:53
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2007-1-18 13:42:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    昨天有个讨论的题,是关于sql注入的,在此发表自己的一些想法;

    Sql注入应该就是通过Sql语句来进行恶意的侵入,进行删除表格等的一系列的动作给用户的数据库造成一定的问题;个人认为这种情况一般发生在WEB程序中较多,当用户通过表单输入数据,WEB服务器将用户输入的数据发送给DB服务器,而在此过程中,恶意的用户就能够通过表单进行插入SQL语句,给数据库造成问题;
    预防方法:对进行数据库的操作语句进行验证,并通过一定的数据过滤器加以过滤,应该还有其他方法吧!
    也不知道是不是这么回事,请各位大哥多多指导!

    SQL在一些应用程序中会发生吗?又是个怎样的过程?
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    该用户从未签到

    2#
    发表于 2007-1-19 17:58:25 | 只看该作者
    字符转义后,基本上注入不了了吧
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
    发表于 2007-1-22 19:08:38 | 只看该作者
    http://cherryqi.it.com.cn/articles/150391.htm
    之前收藏了一片文章,可以去看看:)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
    发表于 2007-1-23 01:07:15 | 只看该作者
    我自己的通俗理解,与大家分享!程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2016-9-3 13:53
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    5#
     楼主| 发表于 2007-1-23 11:52:02 | 只看该作者
    谢谢各位
    收获甚多
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
    发表于 2007-1-24 16:41:55 | 只看该作者
    比如,‘ 或 and 1=1等等的一些漏洞!可用instr
    if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then
    含义:比较 字符(空格)与字符(')在request("id")中的具体位置(进行二进制制比较),假如找到了(空格)与(‘)字符,那么就是then 后的语句!
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-24 19:43 , Processed in 0.074991 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表