知识大全 SQL注入漏洞[2]
Posted 知
篇首语:仓廪实则知礼节,衣食足则知荣辱。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 SQL注入漏洞[2]相关的知识,希望对你有一定的参考价值。
PHP网络开发详解:SQL注入漏洞[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
——此文章摘自《完全手册PHP网络开发详解》定价 ¥ 特价 ¥ 详细>>//track linktech cn/?m_id=dangdang&a_id=A &l= &l_type = width= height= border= nosave>SELECT * FROM posts WHERE postid = and (select length(adminname) from admin limit )>
就这样 通过对数据库字段长度的逻辑判断获得了存储管理员账号和密码的表名和列名 下一步 就可以通过对管理员账号和密码的每个字符的ASCII码的判断来获得管理员账号了 例如 当前管理员的账号为admin 在浏览器上访问// /bugs/eg php?id= and (select ascii(substr(adminname )) from admin limit )= 可以使网页正常显示 这是因为当前管理员账号为admin 通过使用ascii函数和substr函数来获取第一个字母的ASCII码为 当SQL中的逻辑成立时 页面就可以正常地显示了 漏洞防护措施
前面所述的攻击方法虽然很烦琐 但是只要有充足的时间 完全可以通过前面所示的PHP代码来获取管理员的账号和密码 并对网站数据进行修改 解决这一问题的方法很简单 就是对通过地址栏传入的参数的值进行判断或者格式化处理 如以下代码所示 <?php $id = (int)$_GET[ id ]; //通过对id参数进行数据类型转换过滤掉非法SQL字符 $sql = SELECT * FROM posts WHERE postid = $id ;//定义SQL echo SQL: $sql <br> ; //输出SQL mysql_connect( localhost root ); //连接服务器 mysql_select_db( guestbook ); //连接数据库 $rs = mysql_query($sql); //执行SQL if(mysql_numrows($rs)) //判断是否存在记录 $row_rs = mysql_fetch_assoc($rs); echo TOPIC: $row_rs[ topic ] <br> ; else //如果记录不存在 则输出错误信息 echo Record not found! ; ?>
上面的代码首先将传入的参数的值转换为整型数据 然后再放入SQL语句中执行 这一简单的举措可以将地址栏中的非数字字符全部过滤掉 大大增强了系统的安全性
cha138/Article/program/PHP/201311/21469相关参考
SQL注入天书―ASP注入漏洞全接触 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!lishixin
PHP网络编程:小心SQL注入漏洞 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! &nb
SQL注入天书之ASP注入漏洞全接触 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 引言 随着
知识大全 Oracle E-Business多个未明SQL注入漏洞
OracleE-Business多个未明SQL注入漏洞 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧
知识大全 解析web文件操作常见安全漏洞(目录、文件名检测漏洞
做web开发我们经常会做代码走查很多时候我们都会抽查一些核心功能或者常会出现漏洞的逻辑随着技术团队的壮大组员技术日益成熟常见傻瓜型SQL注入漏洞以及XSS漏洞会越来越少但是我们也会发现一些新兴的隐
SQL注入防御:用三种策略应对SQL注入攻击[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
利用instr()函数防止SQL注入攻击[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!&nb
知识大全 ASP.NET网站程序防SQL注入式攻击方法[2]
ASP.NET网站程序防SQL注入式攻击方法[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
知识大全 ASP.NET程序防范SQL注入式攻击的方法[2]
ASP.NET程序防范SQL注入式攻击的方法[2] 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
Sql语句密码验证的安全漏洞 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! Sql语句作为国际标