教你三步堵死SQL数据库的注入漏洞

发表于:2007-07-04来源:作者:点击数: 标签:
SQL 注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在 安全 隐患。用户可以提交一段 数据库 查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的

SQL注入是什么?

许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。

网站的恶梦——SQL注入

SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。

防御SQL注入有妙法

第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用 来防止别人进行手动注入测试(如图1)。

教你三步堵死SQLa href='http://www.chinahtml.com/databases/' target=_blank数据库/a的注入漏洞

图1

可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点(图2)。然后只需要几分钟,你的管理员账号及密码就会被分析出来(图3)。

教你三步堵死SQLa href='http://www.chinahtml.com/databases/' target=_blank数据库/a的注入漏洞

图2

原文转自:http://www.ltesting.net