当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
实现树状结构的两种方法
PHP4(windows版本)中的COM函数
多文件上传的例子
PHP中的超全局变量
PHP树的代码,可以嵌套任意层
强烈推荐:php.ini中文版(1)
强烈推荐:php.ini中文版(2)
国内php原创论坛
PHP&MYSQL服务器配置说明
Apache设置虚拟WEB
提升PHP执行速度全攻略
Mysql的常用命令
用Apache反向代理设置对外的WWW和文件服务器
php.ini中文版
ASP知识讲座四
一个用于MySQL的PHP XML类
phpmyadmin操作流程
PHP4中实现动态代理
把PHP安装为Apache DSO
正则表达式语法

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 360 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10