|
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL注入(SQL Injection)。
SQL 注入攻击是一个常规性的攻击,它可以允许一些不法用户检索你的数据,改变服务器的设置,或者在你不小心的时候黑掉你的服务器。SQL 注入攻击不是SQL Server问题,而是不适当的程序。如果你想要运行这些程序的话,你必须明白这冒着一定的风险。
一、原理
了解SQL注入之前先要了解一些基本的B/S模式应用程序的知识,以及浏览器与服务器交互的相关知识。根据国情,国内的网站用ASP+Access或SQL Server的占70%以上,PHP+MySQL占20%,其他的不足10%。对于ASP+SQL Server的应用程序结构,一个ASP程序实际上是SQL Server的一个客户端,它需要一个合法的SQL登录名和密码去连接SQL Server数据库。下面一段代码是典型的在ASP中连接SQL SERVER的例子:
<%rServer="IBM-WEB-01" ''''设置SQL SERVER服务器地址
rUid="webuser" ''''设置SQL SERVER登录名
rPwd="xxxxxxxxf" '''' [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页 | 
注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网] 