一个简单经典的SQL语句注入侵入:
一个网站需要用户输入username与password来进行身份的验证,那么在登录网页提供两个输入框,分别对应username与password. 当用户输入了相应的信息,那么在后台需要用相应的SQL语句进行验证:
例如:sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "';"
如果在数据库当中我们根据上面的SQL语句找到了一条相对应的记录,那么用户就可以登录进去网站。
问题出现了,就在这一条sql语句上面。如果在password输入框中输入OR ‘1’=‘1’那么整个sql语句就是:sql=SELECT * FROM users WHERE username = 'bob' AND password = '' OR '1'='1'; 这条语句返回所有名字为bob的用户,因为‘1’=‘1’这一条件永远成立,此时用户还是被判断为可以登录网站。
安全漏洞很明显,同时读者肯定看到了它巨大的危害性。
解决方案之一:
先取出来username对应的记录,取出次记录的password,然后用password.equals("用户输入的password")进行比较,如果一致则正确,如果不一致则为错误信息。
解决方案之二:
过滤掉“‘”符号。在把参数给予SQL语句之前,我们先把“’”号去掉,那么就不会存在SQL语句的注入问题。
pwd = replace(trim(request.form("pwd")),"'","")
name = replace(trim(request.form("name")),"'","")
sql = "select * from Manage_User where UserName='" & name & "' And PassWord='"&encrypt(pwd)&"'"
有一篇文章整理的不错,是关于oracle黑客攻击的介绍:http://www.cio360.net/h/2253/327952-9313.html#pager
分享到:
相关推荐
基于java的贝儿米幼儿教育管理系统答辩PPT.pptx
本压缩包资源说明,你现在往下拉可以看到压缩包内容目录 我是批量上传的基于SpringBoot+Vue的项目,所以描述都一样;有源码有数据库脚本,系统都是测试过可运行的,看文件名即可区分项目~ |Java|SpringBoot|Vue|前后端分离| 开发语言:Java 框架:SpringBoot,Vue JDK版本:JDK1.8 数据库:MySQL 5.7+(推荐5.7,8.0也可以) 数据库工具:Navicat 开发软件: idea/eclipse(推荐idea) Maven包:Maven3.3.9+ 系统环境:Windows/Mac
基于java的消防物资存储系统答辩PPT.pptx
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
TA_lib库(whl轮子),直接pip install安装即可,下载即用,非常方便,各个python版本对应的都有。 使用方法: 1、下载下来解压; 2、确保有python环境,命令行进入终端,cd到whl存放的目录,直接输入pip install TA_lib-xxxx.whl就可以安装,等待安装成功,即可使用! 优点:无需C++环境编译,下载即用,方便
使用软件自带的basic脚本编辑制作的脚本 低版本软件无法输出Excel报告,可以通过脚本方式实现这一功能
基于java的就业信息管理系统答辩PPT.pptx
25法理学背诵逻辑.apk.1g
基于java的大学生校园兼职系统答辩PPT.pptx
做到代码,和分析的源数据
本压缩包资源说明,你现在往下拉可以看到压缩包内容目录 我是批量上传的基于SpringBoot+Vue的项目,所以描述都一样;有源码有数据库脚本,系统都是测试过可运行的,看文件名即可区分项目~ |Java|SpringBoot|Vue|前后端分离| 开发语言:Java 框架:SpringBoot,Vue JDK版本:JDK1.8 数据库:MySQL 5.7+(推荐5.7,8.0也可以) 数据库工具:Navicat 开发软件: idea/eclipse(推荐idea) Maven包:Maven3.3.9+ 系统环境:Windows/Mac
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
适用于ensp已经入门人群的学习,有一定难度
基于java的数码论坛系统设计与实现答辩PPT.pptx
tornado-6.4.1-cp38-abi3-macosx_10_9_universal2.whl
基于java的医院信管系统答辩PPT.pptx
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
tornado-4.2.tar.gz
链表 合并两个链表,链表基础操作