谣传-SQL 注入

作者:vkvi 来源:千一网络(原创) 日期:2007-11-29

一日在注册一个应用系统上注册一个 candy 的用户名,结果失败了,经查系统为了防 SQL 注入,将 select、update、and 等词列入了黑名单,而 candy 中恰好有 and 字母。

网上利用此方法来防 SQL 注入的情况还真不少,其实这是错误的做法,SQL 注入的基本原理是改变 SQL 语句的结构,只要我们确保参数不会保证 SQL 语句结构被改变,只是字段值变化,就不会引发注入。而上面的替换关键字,不仅不安全,反而是危险的,请参见再次说明防注入不是替换关键字!

读《SQL注入天书之ASP注入漏洞全接触》感 一文中已经详细解释了注释的正确解决办法,值得一读。

你前面那位网友看了:style.display 如何切换?

▲▲▲嘿,欢迎转载传播本站原创文章,尽量保留来源噢。▲▲▲

文章评论
标题:必填
内容:
赞助商们
vkvi
vkvi

作者简介: vkvi,致力于 .NET Web 开发、移动开发的技术推广,在 .NET、SQL Server、Windows Server 等方面有深入研究和丰富经验,10 年间共计撰写文章 4000 余篇。 主持金融、国土、农业、电商等多个行业项目执行, 推行“技术提升生产力、人心决定成功率”的管理理论。 联系他