所直畈貉羔谓道高一尺,魔高一丈,现在针对网站的攻击越来越严重。网站攻击有好多种,现在我们主要介绍一种,那就是sql注入。
工具/原料
iis服务器
SqlServer2008
方法/步骤
1、sql注入一般都是发生在含有表单的页面,髀佟彷澧因为这是用户输入的数据能够到达数据库的地方,要是不知道表单是什么,看看下图:
2、我们首先在数据库中添加了,用户名:admin,密码:123456,测试登陆成功
3、sql注入一般是添加特殊符号,改变原有的衡痕贤伎sql,使其sql语句发生改变;原来的语句一般为:select*fromuserwher髫潋啜缅eusername='admin'andpassword='123456',改变之后:select*fromuserwhereusername='admin'andpassword=''or'1'=1;根据sql查询规则,这两条语句查询结果是一样的,故,登陆成功。
4、接下来就介绍一下怎么防止sql注入了。有两个方法,一种是在后台写一个方法,对表单的数据进行过滤,过滤掉危险字符:
5、另一种是用这种方法进行查询,先写一条sql,后加参数进行查询
6、用sql注入进行测试,结果如下:
7、怎么样,都学会了,是不是很简单。