当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
一个多文件上传的例子(原创)
PHP的FTP学习(一)[转自奥索]
PHP - Html Transfer Code
新浪新闻小偷
一棵php的类树(支持无限分类)
PHP邮件专题
我常用的几个类
利用PHP创建动态图像
5.PHP的其他功能
用定制的PHP应用程序来获取Web服务器的状态信息
用PHP编写PDF文档生成器
一次编写,随处运行
PHP 中的一些经验积累
最小化数据传输:在客户端存储数据
综合图片计数器
模拟OICQ的实现思路和核心程序(一)
基于文本的留言簿
PHP的FTP学习(一)
杏林同学录(四)
我的论坛源代码(六)

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 268 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10