茄子在线看片免费人成视频,午夜福利精品a在线观看,国产高清自产拍在线观看,久久综合久久狠狠综合

    <s id="ddbnn"></s>
  • <sub id="ddbnn"><ol id="ddbnn"></ol></sub>

  • <legend id="ddbnn"></legend><s id="ddbnn"></s>

    不正確編寫SQL語句會導(dǎo)致系統(tǒng)不安全
    來源:易賢網(wǎng) 閱讀:1341 次 日期:2014-08-25 11:40:50
    溫馨提示:易賢網(wǎng)小編為您整理了“不正確編寫SQL語句會導(dǎo)致系統(tǒng)不安全”,方便廣大網(wǎng)友查閱!

    很多人都知道在一般的多用戶應(yīng)用系統(tǒng)中,只有擁有正確的用戶名和密碼的用戶才能進入該系統(tǒng)。我們通常需要編寫用戶登錄窗口來控制用戶使用該系統(tǒng),在下文中,我們將會了解到不正確地編寫SQL語句將會導(dǎo)致系統(tǒng)的不安全。注釋:本文以Visual Basic+ADO為例。

    一、漏洞的產(chǎn)生

    用于登錄的表

    Users(name,pwd)

    建立一個窗體Frmlogin,其上有兩個文本框Text1,Text2和兩個命令按鈕cmdok,cmdexit。兩個文本框分別用于讓用戶輸入用戶名和密碼,兩個命令按鈕用于“登錄”和“退出”。

    1、定義Ado Connection對象和ADO RecordSet對象:

    Option Explicit

    Dim Adocon As ADODB.Connection

    Dim Adors As ADODB.Recordset

    2、在Form_Load中進行數(shù)據(jù)庫連接:

    Set Adocon = New ADODB.Connection

    Adocon.CursorLocation = adUseClient

    adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" && _

    App.Path && " est.mdb;"

    cmdok中的代碼

    Dim sqlstr As String

    sqlstr = "select * from usersswheresname='" && Text1.Text && _

    "' and pwd='" && Text2.Text && "'"

    Set adors = New ADODB.Recordset

    Set Adors=Adocon.Execute(sqlstr)

    If Adors.Recordcount>0 Then //或If Not Adors.EOF then

    ....

    MsgBox "Pass" //通過驗證

    Else

    ...

    MsgBox "Fail" //未通過驗證

    End if

    運行該程序,看起來這樣做沒有什么問題,但是當在Text1中輸入任意字符串(如123),在Text2中輸入a' or 'a'='a時,我們來看sqlstr此時的值:

    select * from usersswheresname='123' and pwd='a' or 'a'='a'

    執(zhí)行這樣一個SQL語句,由于or之后的'a'='a'為真值,只要users表中有記錄,則它的返回的eof值一定為False,這樣就輕易地繞過了系統(tǒng)對于用戶和密碼的驗證。

    這樣的問題將會出現(xiàn)在所有使用select * from usersswheresname='" && name && "' and pwd='" && password &&"'的各種系統(tǒng)中,無論你是使用那種編程語言。

    二、漏洞的主要特點

    在網(wǎng)絡(luò)中,以上的問題尤為突出,在許多網(wǎng)站中都能使用這種方式進入需要進行用戶名和密碼驗證的系統(tǒng)。這樣的SQL漏洞具有以下的特點:

    1、與編程語言或技術(shù)無關(guān)

    無論是使用VB、Delphi還是ASP、JSP。

    2、隱蔽性

    現(xiàn)有的系統(tǒng)中有相當一部分存在著這個漏洞,而且不易覺察。

    3、危害性

    不需要進行用戶名或密碼的猜測即可輕易進入系統(tǒng)。

    三、解決漏洞的方法

    1、控制密碼中不能出現(xiàn)空格。

    2、對密碼采用加密方式。

    這里要注意的是,加密不能采用過于簡單的算法,因為過于簡單的算法會讓人能夠構(gòu)造出形如a' or 'a'='a的密文,從而進入系統(tǒng)。

    3、將用戶驗證和密碼驗證分開來做,先進行用戶驗證,如果用戶存在,再進行密碼驗證,這樣也能解決此問題。

    更多信息請查看IT技術(shù)專欄

    更多信息請查看數(shù)據(jù)庫
    易賢網(wǎng)手機網(wǎng)站地址:不正確編寫SQL語句會導(dǎo)致系統(tǒng)不安全
    由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇剩?/div>

    2026國考·省考課程試聽報名

    • 報班類型
    • 姓名
    • 手機號
    • 驗證碼
    關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 新媒體/短視頻平臺 | 手機站點 | 投訴建議
    工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網(wǎng)安備53010202001879號 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號
    聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號:hfpxwx
    咨詢QQ:1093837350(9:00—18:00)版權(quán)所有:易賢網(wǎng)