当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
基于mysql的论坛(3)
基于mysql的论坛(7)
生成sessionid和随机密码的例子
基于mysql的论坛(6)
基于mysql的论坛(5)
基于mysql的论坛(4)
基于mysql的论坛(1)
基于mysql的论坛(2)
模仿OSO的论坛(五)
PHP4在Windows2000下的安装
用PHP实现多级树型菜单
如何删除多级目录
构建简单的Webmail系统
用文本文件实现的动态实时发布新闻的程序
信用卡效验程序
简单的用PHP编写的导航条程序
将RTF格式的文件转成HTML并在网页中显示的代码
利用 window_onload 实现select默认选择
PHP4.04简明安装
非常好的目录导航文件代码

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 177 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10