当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
初学者入门:细述PHP4的核心Zend
网友分享:php与XML、XSLT、Mysql结合运用
DISCUZ架构:积分系统代码分析一
DISCUZ架构:积分系统代码分析二
DISCUZ架构:积分系统代码分析三
设置COOKIE保留时间为浏览器进程
通过ADO调用Access数据库和COM程序
判断一数是否在一已知数组中的函数
如何使用PHP中的日期和时间函数
一个PHP中常用email校验语句的解释
如何利Mcrypt扩展库进行加密和解密
PHP脚本的8个技巧(4)动态创建图象
实用技巧:PHP截取中文字符串的问题
PHP与已存在的Java应用程序集成
PHP3中使用ORACLE函数的使用说明
PHP技巧:得到一个字符串的最后一个字符
Linux系统下让PHP提高性能的工具APC
为您详解PHP开发工具的使用与分析
如何使用PHP开发高效的WEB系统
用 PHP V4 开发的代码迁移到 PHP V5

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 276 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10