|
|
http://blog.csdn.NET/Haohappy2004
SQL注入攻擊是黑客攻擊網站最常用的手段。如果你的站點沒有使用嚴格的用戶輸入檢驗,那么非常容易遭到SQL注入攻擊。SQL注入攻擊通常通過給站點數據庫提交不良的數據或查詢語句來實現,很可能使數據庫中的紀錄遭到暴露,更改或被刪除。下面來談談SQL注入攻擊是如何實現的,又如何防范。
看這個例子:
// supposed input
$name = “ilia'; DELETE FROM users;”;
mysql_query(“SELECT * FROM users WHERE name='{$name}'”);
很明顯最后數據庫執行的命令是:
SELECT * FROM users WHERE name=ilia; DELETE FROM users
這就給數據庫帶來了災難性的后果--所有記錄都被刪除了。
不過如果你使用的數據庫是MySQL,那么還好,mysql_query()函數不允許直接執行這樣的操作(不能單行進行多個語句操作),所以你可以放心。如果你使用的數據庫是SQLite或者PostgreSQL,支持這樣的語句,那么就將面臨滅頂之災了。
php技術:PHP與SQL注入攻擊[一],轉載需保留來源!
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
