当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
PHP框架:CodeIgniter v1.7.2发布
PHP教程:strtotime函数用法
PHP实例:实现超级简单的MVC结构
PHP教程:ImageTTFText函数实现图像加文字水印
php项目打包
轻松修复Discuz!数据库
PHP+MYSQL+Flash做留言本
精通php的十大要点(上)
用PHPnow搭建PHP+MYSQL网站开发环境
网页收集20个方便网页开发的工具
phpBB 3.0.6 RC1简单介绍和下载
PHP教程:httpd.conf文件配置
PHP教程:类似GOOGLE搜索结果的分页
Apache服务器下配置SSI
php正则
PHP的十个高级技巧(上中下)
使用函数递归实现基于php和MySQL的动态树型菜单
用PHP制作静态网站的模板框架
Extended CHM PHP 语法手册之 DIY
PHP 和 HTML

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 95 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10