随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL注入(SQL Injection)。

SQL 注入攻击是一个常规性的攻击，它可以允许一些不法用户检索你的数据，改变服务器的设置，或者在你不小心的时候黑掉你的服务器。SQL 注入攻击不是SQL Server问题，而是不适当的程序。如果你想要运行这些程序的话，你必须明白这冒着一定的风险。

一、原理

了解SQL注入之前先要了解一些基本的B/S模式应用程序的知识，以及浏览器与服务器交互的相关知识。根据国情，国内的网站用ASP+Access或SQL Server的占70%以上，PHP+MySQL占20%，其他的不足10%。对于ASP+SQL Server的应用程序结构，一个ASP程序实际上是SQL Server的一个客户端，它需要一个合法的SQL登录名和密码去连接SQL Server数据库。下面一段代码是典型的在ASP中连接SQL SERVER的例子：

<%rServer="IBM-WEB-01"           ''''设置SQL SERVER服务器地址

rUid="webuser"                     ''''设置SQL SERVER登录名

rPwd="xxxxxxxxf"                            ''''

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ...  下一页 >>