sql injection入侵网站
时常在有关电脑保安的网站、书,看到有关利用sql injection的方法来入侵网站。
一直以来,我都认为是在form 里面用get 才可以让hacker有机可乘的利用sql injection。
原来,我错了。
昨天,我根据网上搜寻到的资料对一些网站进行测试,form 里面用post ,也一样可以被入侵。没有防范的网站,只需要在它的username 及密码的输入框输入
' or 1=1 --就可以通过系统的身份鉴定了。
如何防止sql injection?
编写程式的时候,禁止一切空格后面的字符输入,就可以了。
Labels: 程式编写
0 Comments:
Post a Comment
<< Home