当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
图书管理程序(三)
PHP脚本的10个技巧(1)
PHP脚本的10个技巧(2)
用PHP调用数据库的存贮过程!
给多个地址发邮件的类
用函数读出数据表内容放入二维数组
用文本文件制作留言板提示(上)
用文本文件制作留言板提示(下)
WIN98下Apache1.3.14+PHP4.0.4的安装
Email+URL的判断和自动转换函数
一个高ai的分页函数和一个url函数
PHP的ASP防火墙
PHP网上调查系统
转换中文日期的PHP程序
全文搜索和替换
教你如何把一篇文章按要求分段
一个用于mysql的数据库抽象层函数库
php&java(三)
php&java(一)
php&java(二)

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 160 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10