中文电脑资讯blog

分享有关中文电脑应用的问题。

Your Ad Here

Saturday, July 22, 2006

sql injection入侵网站

时常在有关电脑保安的网站、书,看到有关利用sql injection的方法来入侵网站。

一直以来,我都认为是在form 里面用get 才可以让hacker有机可乘的利用sql injection。

原来,我错了。

昨天,我根据网上搜寻到的资料对一些网站进行测试,form 里面用post ,也一样可以被入侵。没有防范的网站,只需要在它的username 及密码的输入框输入
' or 1=1 --
就可以通过系统的身份鉴定了。

如何防止sql injection?
编写程式的时候,禁止一切空格后面的字符输入,就可以了。

Labels:

0 Comments:

Post a Comment

<< Home