SQL injection
最近自己折腾一个数据库的东西,自己研究了一下SQL injection.
SQL injection 看起来还是挺有意思。可以看看youtube 上的一个SQL injection的实例还是比较简单的。http://www.youtube.com/watch?v=MJNJjh4jORY
当然这是最基本的SQL injection了。这种最基本的问题一般都出在query的字段连接上。
SqlCommand cmd = new SqlCommand(
"SELECT ID, FullName FROM User WHERE Login='"
+ Login.Text
+ "' AND Password='"
+ Password.Text
+ "'");
这种类型的错误相当常见,在一般情况下这个SQL语句执行没有任何问题,但是如果往用户的密码框里填上
' OR ''='
那么这个验证就被跳过去了。
当然高级的injecition 需要不停的试最终找到你的se阅读全文>
发表于 @ 2007年08月02日 01:34:00|评论(loading...)|编辑|收藏