当前位置:主页 > 数据修复 >

    著名的SQL流量注入(SQL注入)攻击法

    2010-10-08 09:48 作者:admin 来源:admin 浏览次数:

    之所以旧事重提,只是想给那些还没接触到的人提个醒,顺便听听众位高手们的看法,好学习学习。


    我们在编程过程中,经常会把用户输入的数据拼成一个SQL语句,然后直接发送给服务器执行,比如:

    string SqlStr = "select * from customers where CompanyName Like '%" + textBox1.Text + "%'";

    这样的字符串连接可能会带来灾难性的结果,比如用户在文本框中输入:

    a' or 1=1 --

    那么SqlStr的内容就是:

    select * from customers where CompanyName like '%a' or 1=1 --%'

    这样,整个customers数据表的所有数据就会被全部检索出来,因为1=1永远true,而且最后的百分号和单引号被短横杠注释掉了。

    如果用户在文本框中输入:

    a' EXEC sp_addlogin 'John' ,'123' EXEC sp_addsrvrolemember 'John','sysadmin' --

    那么SqlStr的内容就是:

    select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John','123' EXEC sp_addsrvrolemember 'John','sysadmin' --

    这个语句是在后台数据库中增加一个用户John,密码123,而且是一个sysadmin账号,相当于sa的权限。

    如果用户在文本框中输入:

    a' EXEC xp_cmdShell('format c:/y') --

    运行之后好像是格式化C盘!

    还有很多更危险的操作,不过都没试过。还是存储过程好用啊,存储过程的参数把用户的输入当成真正的字符串处理,既安全,又快速!

联系方式 | 收费标准 | 上门服务 | 公司简介 | 汇款账户

回天时代有限公司

杭州公司: 杭州市文三路388号钱江科技大厦10楼1016室

华东总部:上海市徐汇区漕溪北路41号汇嘉大厦12楼E室(太平洋一期12楼)

咨询热线:400-889-1122(全国),0512-66099871(苏州),021-58358765(上海),0571-88218821(杭州) 24小时热线:13524645444,案:浙ICP备06024533号