当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
PHP日期时间函数的高级应用技巧
php 无限级 SelectTree 类
简单的php 验证图片生成函数
php print EOF实现方法
php session 错误
PHP的单引号和双引号 字符串效率
php 字符过滤类,用于过滤各类用户输入的数据
php 字符转义 注意事项
PHP mail 通过Windows的SMTP发送邮件失败的解决方案
PHP XML备份Mysql数据库
很好用的PHP数据库类
phpMyAdmin 安装及问题总结
UCenter Home二次开发指南
PHP5.2中date()函数显示时间与北京时间相差8小时的解决办法
php $_ENV为空的原因分析
php Undefined index的问题
PHP 服务器配置(使用Apache及IIS两种方法)
一个很不错的PHP翻页类
php 正则 过滤html 的超链接
PHP 文件扩展名 获取函数

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 281 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10