当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
Web开发人员编程模型:隔离级别
采用.htaccess设置网站的压缩与缓存
PHP教程:PHP编程中的变量生存周期
PHP教程:isset() , unnset(), empty()
国外优秀的PHP开源网站内容管理系统
PHP 页面跳转到另一个页面的多种方法方法总结
php侧拉菜单 漂亮,可以向右或者向左展开,支持FF,IE
php foreach、while性能比较
关于Appserv无法打开localhost问题的解决方法
php 魔术方法使用说明
php实现mysql同步的实现方法
php 3行代码的分页算法(求起始页和结束页)
PHP字符串 ==比较运算符的副作用
Wordpress php 分页代码
PHP 长文章分页函数 带使用方法,不会分割段落,翻页在底部
php self,$this,const,static,->的使用
PHP教程 基本语法
PHP教程 变量定义
PHP 处理图片的类实现代码
PHP教程 预定义变量

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 54 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10