`
tianzongqi
  • 浏览: 32361 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

网站开发中安全问题初探

阅读更多
一个简单经典的SQL语句注入侵入:
一个网站需要用户输入username与password来进行身份的验证,那么在登录网页提供两个输入框,分别对应username与password. 当用户输入了相应的信息,那么在后台需要用相应的SQL语句进行验证:
例如:sql = "SELECT * FROM users  WHERE username = '" + username + "' AND password = '" + password + "';"
如果在数据库当中我们根据上面的SQL语句找到了一条相对应的记录,那么用户就可以登录进去网站。

问题出现了,就在这一条sql语句上面。如果在password输入框中输入OR ‘1’=‘1’那么整个sql语句就是:sql=SELECT * FROM users WHERE username = 'bob' AND password = '' OR '1'='1'; 这条语句返回所有名字为bob的用户,因为‘1’=‘1’这一条件永远成立,此时用户还是被判断为可以登录网站。

安全漏洞很明显,同时读者肯定看到了它巨大的危害性。

解决方案之一:
先取出来username对应的记录,取出次记录的password,然后用password.equals("用户输入的password")进行比较,如果一致则正确,如果不一致则为错误信息。


解决方案之二:
过滤掉“‘”符号。在把参数给予SQL语句之前,我们先把“’”号去掉,那么就不会存在SQL语句的注入问题。
pwd = replace(trim(request.form("pwd")),"'","")

name = replace(trim(request.form("name")),"'","")

sql = "select * from Manage_User where UserName='" & name & "' And PassWord='"&encrypt(pwd)&"'"



有一篇文章整理的不错,是关于oracle黑客攻击的介绍:http://www.cio360.net/h/2253/327952-9313.html#pager


分享到:
评论

相关推荐

    网络安全若干技术难点初探

    这包括开发更安全的编程语言,强化软件生命周期中的安全实践,例如代码审查、安全测试和持续监控,以尽早发现和修复潜在的漏洞。此外,也需要发展更高效的安全响应机制,以快速应对网络安全事件,减少损失。 为了...

    网络安全初探SQL注入漏洞

    标题"网络安全初探SQL注入漏洞"表明我们将关注的是如何识别和防范这种类型的漏洞。在描述中提到,通过PHP和MySQL构建的简单网站,我们有一个实际的平台来模拟和理解SQL注入的场景。PHP是一种常用的服务器端脚本语言...

    本科毕业设计--动物园网站设计初探.doc

    6. 网站开发技术:网站开发需要考虑各种技术问题,包括网站架构、数据库设计、前端开发和后端开发等方面。 7. 网站设计的意义:网站设计对动物园的发展具有重要的意义,可以提高动物园的知名度和影响力,同时也可以...

    基于游戏开发的Java语言教学初探

    国外,网页游戏的受欢迎程度甚至超过了视频和社交网站,Java技术在游戏开发中的应用趋势明显,市场潜力巨大。 3. **可行性及需求分析** 技术可行性方面,Java的面向对象特性(封装、多态性和继承性)使其适合游戏...

    CMS模块化开发和演讲稿-大型、高负载网站架构和应用初探(ppt)

    【CMS模块化开发与大型、高负载网站架构和应用初探】 在当今互联网时代,大型、高负载的网站已经成为企业及组织在线业务的核心。CMS(Content Management System,内容管理系统)的模块化开发是构建此类网站的关键...

    计算机软件开发中JAVA编程语言及其实际应用.pdf

    网站开发中,Java通过各种框架如SpringMVC和Struts2.0等,支持RESTful架构的开发。Java的Servlet技术在政府、教育、交易等多个行业中都有应用,显示了其强大的生命力和适用性。Java编写的服务端程序能够快速响应...

    大型、高负载网站架构和应用初探

    ### 大型、高负载网站架构和应用初探 #### 引言 随着互联网技术的飞速发展,大型、高负载网站的需求日益增加。这些网站不仅要处理海量数据,还需要为成千上万甚至数百万用户提供稳定、高效的服务。在本文中,我们将...

    基于社会化网络软件开发的文科计算机教学初探-软件技术.doc

    同时,教学过程中应注意信息安全问题,教育学生在使用SNS时保护个人信息,理解和遵守网络安全规则。 总的来说,将SNS软件开发引入文科计算机教学,不仅可以提升学生的计算机素养,还能培养他们适应社会网络环境的...

    初探多媒体融合的新闻网站经营之路.ppt

    8. **技术产品经营模式**:新闻网站开发内容管理系统、检索系统,提供网站建设和技术服务,甚至涉及网络安全技术和服务器托管,这些都是技术产品带来的收入来源。 人民网作为新闻网站的典型代表,其经营优势体现在...

    《网络安全技术》实验教学改革初探.docx

    ### 《网络安全技术》实验教学改革初探 #### 一、引言 随着信息技术的快速发展,网络安全成为了一个不容忽视的关键领域。《网络安全技术》实验教学改革的研究旨在探索一种新的教学方式,通过结合大学生创新训练...

    网上购物系统的设计与开发初探(硕士毕业论文)

    这篇硕士毕业论文通过使用JSP(JavaServer Pages)技术来实现网上购物系统,展示了Java编程语言在构建动态网站中的应用。 首先,网上购物系统的核心是其功能模块的设计,包括用户注册与登录、商品浏览、购物车管理...

    白帽子讲浏览器安全.钱文祥(带详细书签).pdf

    第1篇 初探浏览器安全 1 1 漏洞与浏览器安全 3 1.1 漏洞的三要素 3 1.2 漏洞的生命周期 4 1.3 浏览器安全概述 5 1.4 浏览器安全的现状 7 1.5 浏览器的应对策略 9 1.6 “白帽子”与浏览器厂商的联手协作 9 1.7...

    ASP SQL Server环境下 小学网络课件开发初探.pdf

    在ASP和SQL Server环境下开发的网络课件中,用户登录是基础功能。根据用户角色(学生或教师)的不同,登录方式也会有所差异。学生在登录时需要输入姓名并选择所在小组;而教师登录除了需要姓名外,还需要输入密码,...

    初探c#教程.rar

    - **ASP.NET**:用于构建Web应用程序,C#与ASP.NET结合,可以快速高效地开发动态网站。 总之,"初探C#教程.rar"这个压缩包很可能是针对C#编程初学者的一系列学习资料,涵盖C#的基础语法、.NET框架的使用以及面向...

    PHP模板技术初探,,,

    在Web开发中,PHP作为一种流行的服务器端脚本语言,被广泛应用于动态网站的构建之中。PHP不仅支持强大的后端逻辑处理能力,同时也具备灵活的前端展示功能。而在实际项目中,为了实现业务逻辑与页面展示的分离,提高...

    Java高级编程课程思政案例教学初探.zip

    3. 项目合作:组织团队项目,鼓励学生关注社会需求,设计和开发有社会价值的Java应用程序,如公益服务网站、环保监测系统等。 4. 讨论与反思:在课堂上组织讨论,让学生分享对技术应用的看法,引导他们反思技术可能...

    基于JSP及MySql数据库的图片存储和显示技术初探.pdf

    【基于JSP及MySql数据库的图片存储和显示技术初探】 随着Web应用程序的发展,图片在网页中的使用越来越频繁,传统的文件系统存储方式逐渐无法满足高效管理和大量图片数据的需求。因此,采用数据库存储图片信息成为...

    ChatGPT在犯罪中的潜在应用分析及执法应对策略初探.pdf

    【ChatGPT与大语言模型的基本概念】...这篇论文深入剖析了ChatGPT作为大语言模型在犯罪活动中的可能应用,以及执法部门对此的应对策略,强调了关注技术发展对执法工作的影响,倡导积极应对新技术挑战,以保障社会安全。

    jsp动态网站开发与实例(第3版)

    JSP(Java Server Page)是由SUN公司倡导的、众多公司共同参与建立的一种动态网页技术标准,它可以完美地运行在UNIX、Linux、Windows等操作平台上,从而建立安全的、跨平台的动态网站。本书详细讲解了JSP语法和基本的Web...

Global site tag (gtag.js) - Google Analytics