婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

主頁 > 知識庫 > SQL 注入式攻擊的本質

SQL 注入式攻擊的本質
熱門標簽:外呼系統改進 廣東防封卡外呼系統原理是什么 分享百度地圖標注多個位置 長沙智能外呼系統 電銷機器人公司 需要哪些牌照 湖南電腦外呼系統平臺 知名電銷機器人價格 菏澤語音電銷機器人加盟公司 地圖標注牌
有文章還說注入式攻擊還會有“第三波”攻擊潮,到時候會更加難以察覺,連微軟的大佬都跑出來澄清說與微軟的技術與編碼無關,微軟為此還專門推出了三個檢測軟件,那么這個SQL注入式攻擊的漏洞究竟是怎么造成的呢?

正如微軟的大佬所說的,是由于網站程序的開發人員編碼不當造成的,不光是ASP、ASP.NET,也包括JSP、PHP等技術,受影響的也不僅僅是Access和SQL Server數據庫,也包括Oracle和MySql等其他關系數據庫,和人家微軟沒什么關系。事實上不光是基于B/S架構的系統或網站存在這樣的問題,基于C/S架構的系統也存在這樣的問題,只不過由于C/S架構的特點決定了不可能像B/S系統這樣影響這么廣泛。那么為什么說這個問題是開發人員編碼不當造成的呢,下面我們就來具體分析。

首先讓我們來看一下以下這四條SQL查詢語句
語句1:select * from news where newstype=1
語句2:select * from news where newstype=1;drop table news
語句3:select * from news where newstype='社會新聞'
語句4:select * from news where newstype='社會新聞';drop table news--'
大家都知道語句1的作用是查詢news表中newstype字段值等于1的所有記錄,其中newstype字段的類型是一種數值型,比如Int、SmaillInt、TinyInt、Float等等;語句2實際上是兩條語句,第一條的作用和語句1的作用相同,第二條的作用是刪除數據庫中的news表。語句3和語句4的功能和語句1、語句2的基本相同,所不同的是語句3、4里的newstype字段是字符型的,比如:char、varchar、nvarchar、text等等

不管是在ASP還是ASP.NET還是JSP或PHP,一般我們都會采用“select * from news where newstype=”+v_newstype的方法來構造語句1,或者“select * from news where newstype='”+v_newstype+"'"來構造語句3,其中v_newstype是一個變量,如果v_newstype的值等于1,構造出來的就是語句1了,如果v_newstype的值等于"社會新聞",構造出來的就是語句3了,但是很不幸的是如果我們忽略了對v_newstype的檢查,通過這個方法構造出來的也可能是語句2或者語句4,比如v_newstype的值為“1;drop table news”或“社會新聞';drop table news--”,如果我們的疏忽讓別人給利用了,就會給我們造成巨大的損失,SQL注入式攻擊正是利用了我們的這個疏忽,所以說SQL注入式攻擊的根源來自開發人員的編碼不當和你所使用的平臺、開發工具以及系統架構等等都沒有任何直接的關系。

既然SQL注入式攻擊是由于編碼人員編碼不當造成的,那究竟怎么樣的編碼才是恰當的編碼才不會受到SQL注入攻擊呢,下一篇我們將繼續介紹。

標簽:商洛 珠海 美容院 天水 西寧 呼和浩特 泉州 福建

巨人網絡通訊聲明:本文標題《SQL 注入式攻擊的本質》,本文關鍵詞  SQL,注入,式,攻擊,的,本質,;如發現本文內容存在版權問題,煩請提供相關信息告之我們,我們將及時溝通與處理。本站內容系統采集于網絡,涉及言論、版權與本站無關。
  • 相關文章
  • 下面列出與本文章《SQL 注入式攻擊的本質》相關的同類信息!
  • 本頁收集關于SQL 注入式攻擊的本質的相關信息資訊供網民參考!
    • 推薦文章
    主站蜘蛛池模板: 军事| 塔河县| 包头市| 盐边县| 门源| 略阳县| 武定县| 宁化县| 嘉祥县| 青神县| 葵青区| 安西县| 大渡口区| 黄大仙区| 墨竹工卡县| 汉阴县| 梓潼县| 新巴尔虎右旗| 武威市| 来安县| 屏东市| 全椒县| 安溪县| 郓城县| 岳池县| 门头沟区| 紫阳县| 日喀则市| 白银市| 瑞昌市| 凤庆县| 河东区| 准格尔旗| 湘西| 平南县| 泰兴市| 天峻县| 鹤庆县| 水富县| 新兴县| 清新县|