sql注入代码解释

某个网站的登录验证的SQL查询代码为：

1	`strSQL =` `"SELECT * FROM users WHERE (name = ‘"` `+ userName +` `"‘) and (pw = ‘"+` `passWord` `+"‘);"`

恶意填入

2	`userName =` `"1‘ OR ‘1‘=‘1";`

与

3	`passWord` `=` `"1‘ OR ‘1‘=‘1";`

时，将导致原本的SQL字符串被填为

4	`strSQL =` `"SELECT * FROM users WHERE (name = ‘1‘ OR ‘1‘=‘1‘) and (pw = ‘1‘ OR ‘1‘=‘1‘);"`

也就是实际上运行的SQL命令会变成下面这样的

5	`strSQL =` `"SELECT * FROM users;"`

因此达到无账号密码，亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。

时间： 2024-10-07 07:42:16

sql注入代码解释的相关文章

防SQL注入代码（ASP版）

<% Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx '---定义部份头------ Fy_Cl = 1 '处理方式:1=提示信息,2=转向页面,3=先提示再转向 Fy_Zx = "index.Asp" '出错时转向的页面 '---定义部份尾------ On Error Resume Next Fy_Url=Request.ServerVariables("QUERY_STRING") Fy_a=split(

asp.net解决SQL注入代码

public static class CheckChar { #region SQL注入式攻击代码分析 /// <summary> /// 处理用户提交的请求 /// </summary> public static void StartProcessRequest() { try { string getkeys = ""; //防止GET注入 if (System.Web.HttpContext.Current.Request.QueryString !=

C# winform 防止sql注入代码

string sql = "select count(*) from zhuce where [email protected] and [email protected] and type = @type"; SqlConnection conn = new SqlConnection(Common.Context.SqlManager.CONN_STRING); conn.Open(); SqlCommand cmd = new SqlCommand(sql, conn); cmd

大学站防SQL注入代码（ASP版）

方法1: Replace过滤字符解决方法:查找login.asp下的<from找到下边的类似username=request.Form(”name”) pass=request.Form(”pass”)修改为:username=Replace(request.Form(”name”), “’”, “’’”) pass=Replace(request.Form(”pass”), “’”, “’’”)语法是屏蔽’和’’字符来达到效果. 方法2:在conn.asp 内引入safe.asp文件注意:前

Web安全篇之SQL注入攻击

在网上找了一篇关于sql注入的解释文章,还有很多技术,走马观花吧文章来源:http://www.2cto.com/article/201310/250877.html ps:直接copy,格式有点问题~ 大家早上好!今天由我给大家带来<web安全之SQL注入篇>系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲: 第一讲:"纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理.": 第二讲:"实战演练:我们要在互联网上

【数据库】软件安全测试之SQL注入

这些年我们发现越来越多的公司开始注重安全测试了,为什么?因为安全测试可以在某种程度上可以排查掉你项目的一些安全漏洞,这样你的系统上线后才会相对安全,才有可能尽量避免来自外部的攻击.每一年互联网都会发生一些重大的安全事件,而且每一次带来的后果也是很严重的,而这些教训恰恰都说明了安全测试的重要性. 那什么是安全测试呢?百度百科上给出来的解释是:安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 .按照小编的理解,简单点

XSS、CSRF、SQL注入原因分析，危害，解决方案

一.xss 名词解释:xss指的是攻击者利用用户提交的数据没有就行过滤和转义处理的缺点,进而添加一些代码到web界面中去.利用了系统对用户的信任危害:盗取各种账号,网站挂马,非法转账等. 造成原因:过于信任客户端提交的数据. 解决办法:对客户端提交过来的数据进行过滤,转义,正则校验. 举例: 有个表单域:<input type=“text” name=“content” value=“这里是用户填写的留言”> 1.假若用户填写数据为:<script>alert('dog!')&l

aspx 中防止sql注入

public class SqlInject:Page { //检测到注入后的处理方式: 0:仅警告:1:警告+记录:2:警告+自定义错误页面:3:警告+记录+自定义错误页面 private const int _type = 0; private const string errRedirectPage = "/err.aspx"; //如果记录注入信息,那么请设置:errMDBpath:数据库路径 private const string errMDBpath = "/S

Java防止SQL注入的几个途径

java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用 PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为 PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数 01 import java.io.IOExc