当前位置: 首页 > 图文教程 > 网络编程 > PHP > 常常说的SQL注入是怎么做的? - PHPchina

PHP
PHP图片上传类带图片显示
用PHP中的 == 运算符进行字符串比较
使PHP自定义函数返回多个值
在PHP中使用与Perl兼容的正则表达式
PHP中的cookie
PHP 应用程序的安全 -- 不能违反的四条安全规则
PHP date函数参数详解
PHP读写文件的方法(生成HTML)
PHP如何得到当前页和上一页的地址?
PHP完整的日历类(CLASS)
php类
mysq GBKl乱码
php字符串截取问题
PHP+AJAX实现无刷新注册(带用户名实时检测)
windows xp下安装pear
专为新手写的结合smarty的类
PHP 中的面向对象编程:通向大型 PHP 工程的办法
数组处理函数库
PHP 选项及相关信息函数库
PHP 已经成熟

常常说的SQL注入是怎么做的? - PHPchina


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 169 ::
收藏到网摘: n/a

常常看到网上说的sql注入是怎么做的?
  应该怎么防止??【论坛浏览】 

 相关评论
作者: catiger 发布日期: 2006-10-06
it is about playing with SQL statement.

if u r familiar with SQL, u can write things like -- or // to comment out something

since the web forms or urls accept parameters, the paramemter values may be used to construct SQL statement, if there lacks a check on the parameter values like avoiding special characters like --, //, ', "", some vicious SQL code could be injected by creating a SQL admin account and even injecting some SQL dll in order to obtain the web server privileges...

usually if using Java beans, .NET data acceess layers, the problem does not exist since those prohibited characters will be detected and exceptions will be thrown out.

is there a solution for PHP? there may be...depending on which web framework you choose to develop your applicaiton upon.

my 2 cents

[ 本帖最后由 catiger 于 2006-10-6 04:20 PM 编辑 ]
作者: ysoo 发布日期: 2006-10-06
英文不好,是否可以用中文说明?

共有评论数 2/每页显示数 10