当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
PHP 5.0对象模型深度探索之访问方式
解决phpMyAdmin2.6以上版本数据乱码问题
PHP开发中session应用详解
Lore Article.PHP SQL注入漏洞
Mysql存取session实例
php调用mysql存储过程和函数的方法
用PHP5进行三层开发
在PHP中进行GB2312与UTF-8的互换
php与XML、XSLT、Mysql的结合运用,代码篇
php与XML、XSLT、Mysql的结合运用,安装篇
用GD图库生成横竖柱状图折线图的类
一个全面获取图象信息的函数getImageInfo()
用PHP与XML联手进行网站编程
PHPMailer:Featured email transfer class for PHP
php用流方式制作缩略图
php+odbc+access数据库操作函数,在windows下测试通过
PHP IPwhois类
用PHP读写NTFS文件系统下的文件摘要信息
一个简单上传文件出错的解决
PHP实现自动刷数和“灌水”机

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 157 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10