校园春色亚洲色图_亚洲视频分类_中文字幕精品一区二区精品_麻豆一区区三区四区产品精品蜜桃

主頁(yè) > 知識(shí)庫(kù) > SQL 注入式攻擊的本質(zhì)

SQL 注入式攻擊的本質(zhì)
熱門(mén)標(biāo)簽:外呼系統(tǒng)改進(jìn) 廣東防封卡外呼系統(tǒng)原理是什么 分享百度地圖標(biāo)注多個(gè)位置 長(zhǎng)沙智能外呼系統(tǒng) 電銷(xiāo)機(jī)器人公司 需要哪些牌照 湖南電腦外呼系統(tǒng)平臺(tái) 知名電銷(xiāo)機(jī)器人價(jià)格 菏澤語(yǔ)音電銷(xiāo)機(jī)器人加盟公司 地圖標(biāo)注牌
有文章還說(shuō)注入式攻擊還會(huì)有“第三波”攻擊潮,到時(shí)候會(huì)更加難以察覺(jué),連微軟的大佬都跑出來(lái)澄清說(shuō)與微軟的技術(shù)與編碼無(wú)關(guān),微軟為此還專門(mén)推出了三個(gè)檢測(cè)軟件,那么這個(gè)SQL注入式攻擊的漏洞究竟是怎么造成的呢?

正如微軟的大佬所說(shuō)的,是由于網(wǎng)站程序的開(kāi)發(fā)人員編碼不當(dāng)造成的,不光是ASP、ASP.NET,也包括JSP、PHP等技術(shù),受影響的也不僅僅是Access和SQL Server數(shù)據(jù)庫(kù),也包括Oracle和MySql等其他關(guān)系數(shù)據(jù)庫(kù),和人家微軟沒(méi)什么關(guān)系。事實(shí)上不光是基于B/S架構(gòu)的系統(tǒng)或網(wǎng)站存在這樣的問(wèn)題,基于C/S架構(gòu)的系統(tǒng)也存在這樣的問(wèn)題,只不過(guò)由于C/S架構(gòu)的特點(diǎn)決定了不可能像B/S系統(tǒng)這樣影響這么廣泛。那么為什么說(shuō)這個(gè)問(wèn)題是開(kāi)發(fā)人員編碼不當(dāng)造成的呢,下面我們就來(lái)具體分析。

首先讓我們來(lái)看一下以下這四條SQL查詢語(yǔ)句
語(yǔ)句1:select * from news where newstype=1
語(yǔ)句2:select * from news where newstype=1;drop table news
語(yǔ)句3:select * from news where newstype='社會(huì)新聞'
語(yǔ)句4:select * from news where newstype='社會(huì)新聞';drop table news--'
大家都知道語(yǔ)句1的作用是查詢news表中newstype字段值等于1的所有記錄,其中newstype字段的類型是一種數(shù)值型,比如Int、SmaillInt、TinyInt、Float等等;語(yǔ)句2實(shí)際上是兩條語(yǔ)句,第一條的作用和語(yǔ)句1的作用相同,第二條的作用是刪除數(shù)據(jù)庫(kù)中的news表。語(yǔ)句3和語(yǔ)句4的功能和語(yǔ)句1、語(yǔ)句2的基本相同,所不同的是語(yǔ)句3、4里的newstype字段是字符型的,比如:char、varchar、nvarchar、text等等

不管是在ASP還是ASP.NET還是JSP或PHP,一般我們都會(huì)采用“select * from news where newstype=”+v_newstype的方法來(lái)構(gòu)造語(yǔ)句1,或者“select * from news where newstype='”+v_newstype+"'"來(lái)構(gòu)造語(yǔ)句3,其中v_newstype是一個(gè)變量,如果v_newstype的值等于1,構(gòu)造出來(lái)的就是語(yǔ)句1了,如果v_newstype的值等于"社會(huì)新聞",構(gòu)造出來(lái)的就是語(yǔ)句3了,但是很不幸的是如果我們忽略了對(duì)v_newstype的檢查,通過(guò)這個(gè)方法構(gòu)造出來(lái)的也可能是語(yǔ)句2或者語(yǔ)句4,比如v_newstype的值為“1;drop table news”或“社會(huì)新聞';drop table news--”,如果我們的疏忽讓別人給利用了,就會(huì)給我們?cè)斐删薮蟮膿p失,SQL注入式攻擊正是利用了我們的這個(gè)疏忽,所以說(shuō)SQL注入式攻擊的根源來(lái)自開(kāi)發(fā)人員的編碼不當(dāng)和你所使用的平臺(tái)、開(kāi)發(fā)工具以及系統(tǒng)架構(gòu)等等都沒(méi)有任何直接的關(guān)系。

既然SQL注入式攻擊是由于編碼人員編碼不當(dāng)造成的,那究竟怎么樣的編碼才是恰當(dāng)?shù)木幋a才不會(huì)受到SQL注入攻擊呢,下一篇我們將繼續(xù)介紹。

標(biāo)簽:商洛 珠海 美容院 天水 西寧 呼和浩特 泉州 福建

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《SQL 注入式攻擊的本質(zhì)》,本文關(guān)鍵詞  SQL,注入,式,攻擊,的,本質(zhì),;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《SQL 注入式攻擊的本質(zhì)》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于SQL 注入式攻擊的本質(zhì)的相關(guān)信息資訊供網(wǎng)民參考!
    • 推薦文章
    主站蜘蛛池模板: 延安市| 黎川县| 滕州市| 华蓥市| 鸡泽县| 浑源县| 卫辉市| 木兰县| 汉阴县| 江达县| 铁岭县| 阳江市| 保康县| 南木林县| 灌阳县| 嘉义市| 西乡县| 宾川县| 门头沟区| 宁蒗| 鄯善县| 泰宁县| 广宗县| 商水县| 东乌珠穆沁旗| 邵阳县| 遵化市| 沅陵县| 舒城县| 巴楚县| 赣榆县| 安福县| 安阳县| 林芝县| 天门市| 沭阳县| 苗栗县| 巩留县| 合川市| 万安县| 淳化县|