当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
MySQL数据库常见函数详解(1)
MySQL数据库常见函数详解(2)
MySQL数据库常见函数详解(3)
PHP5中新增加的日期(date)函数的常量
PHP:实现给上传图片加水印的程序代码
PHP动态网站开发中常用的8个小技巧
用PHP程序直接调用文本文件内容分析
简单学习PHP向MYSQL中插入数据的代码
PHP中常用的几个 mysql 语句
初学PHP指导:php.ini 配置详细选项
用动态网页技术PHP生成验证码图片的源代码
PHP动态网页开发实现支持页面回跳的方法
实例:PHP生成word文档格式试卷的代码
PHP开发技巧之用递归替换数组中的内容
实用技巧:PHP中调用Java类的两种方法
PHP的mb_substr和mb_strcut的区别
学习动态网页技术PHP:GD库安装问题详解
动态网页制作技术PHP的拼写检查函数库
通过PHP服务器端特性的配置加强PHP的安全
由浅入深学习动态网页制作PHP的编程与应用

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 66 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10