SQL注入 – 仍然认为用户输入很安全吗?
来源:互联网 发布:法制知识网络大赛 编辑:程序博客网 时间:2024/06/04 18:17
[摘自]Google
SQL注入 – 仍然认为用户输入很安全吗?
如果我试图使用如下的用户名登入您的应用程序,将会发生什么?
无名氏’; 删除表成员;--(JohnDoe’; DROP TABLE members;--)
虽然这个具体的例证不会暴露用户数据,但由于它可能将您应用程序储存有成员信息在其上的SQL表完全移除,因此还是能造成很大的问题。
通常,您可以通过主动思考和输入确认来保护您的应用程序免受SQL注入的侵害。首先,您是否能确认SQL用户需要拥有许可来执行“DROP TABLE members”吗?仅授予选择权限不是足够了吗?通过谨慎设置SQL用户的许可,您可以避免遭受痛苦的困扰和大量的麻烦。您还可以以另外一种方式配置错误报告,这样如果查询失败,则数据库和它的表的名字将不会遭到暴露。
第二,永远都不要信任用户输入:对您来说看起来像是登陆表格的,对攻击者来说就是一个潜在的入口。对于即将储存在数据库中的输入,永远要进行审查和确认,并且在任何可能的情况下,要利用在大多数数据库编程接口都能获取的、被称为有准备的或被参数化的声明。
- SQL注入 – 仍然认为用户输入很安全吗?
- 个人认为最好的SQL注入教程
- 个人认为最好的SQL注入教程
- ms sql 注入安全
- SQL安全注入
- 代码安全 - SQL注入
- SQL注入安全分析
- web安全:SQL注入
- web安全:SQL注入
- WEB安全:SQL注入
- 安全测试-SQL注入
- SQL注入安全分析
- sql安全注入
- 网站安全,SQL注入
- 安全测试-SQL注入
- java安全-SQL注入漏洞
- Web安全初探-SQL注入
- 安全测试--SQL注入攻击
- 打包 .war
- 开源软件中 几种经典的Hash算法的实现
- oracle表分区详解
- Web在MyEclipse上的开发--配置环境(No.23)
- Java初识
- SQL注入 – 仍然认为用户输入很安全吗?
- 【每天一个算法】一、交换两个整数
- mybatis简单运用(基于Annotation)
- web--1
- 2011-10-11 设置 web站点
- web--2
- vmware虚拟机里面在Windows XP系统下架设FTP服务器及ftp常用命令
- 国师
- 创建表