网站建设的安全-SQL 注入

SQL 注入

引起原因:
其实现在很多网站中都存在这种问题。就是程序中直接进行SQL语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明:
code:
     验证时的sql语句: select * from where user='"+txtUsername.Text+"' and pwd='"+txtPwd.Text+"'
这是一段从数据库中查询用户,对用户名,密码验证。
看上去好象没有什么问题,但是实际这里面浅藏着问题,用户名:admin 密码: admin,
select * from where user='admin' and pwd='admin'
如果用户和密码正确就可通验证。如果我用户名:asdf' or 1=1 -- 密码:随意输入.
我们再来看语句:
select * from where user=‘asdf' or 1=1 -- and pwd=''
执行后看到什么 是不是所有记录,如果程序只是简单判断返回的条数,这种方法就可以通验证。
如果执行语句是SA用户,再通过xp_cmdshell添加系统管理员,那么这个服务器就被拿下了。
解决方法:
(1):这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
(2):使用存储过程通过传入参数的方法可解决此类问题(注意:在存储过程中不可使用拼接实现,不然和没用存储过和是一样的)。

选择我们,优质服务,不容错过
1. 优秀的网络资源,稳定的网站和速度保证
 (配送双线独立ip空间,国际A级BGP机房,99.5% 的主机在线时间)
2. 7年汤阴网站建设经验,优秀的技术和设计水平,更放心
3. 全程省心服务,不必担心自己不懂网络,更省心。
-----------------------------------------------------------------------------------------------------
我们的与众不同之处:

      免费网络营销顾问:我们为您提供免费的网络营销顾问服务,您需要了解关于如何开展网络营销,电子商务网站设计等的事宜,欢迎随时联系我们。

      seo友好的网站管理系统:除了优质的网站空间,网站管理系统,和网站设计外,我们的网站管理系统更是seo友好的,包括:自定义栏目名,Google Sitemap自动生成,静态页面生成等等,让您的网站。

      免费网络营销培训:如何更好的投放网络广告,如何提高网络广告的投资回报,如何发帖子,
      如何优化网站,我们有丰富的经验开放给您!祝君成功!

联系我们:15565739115      唐朝
豫唐网络北京
网站建设网站:
www.ytecn.com 点击查看经典网站案例
汤阴网站建设
2010年网站建设套餐及优惠!

分享