一、导语
网站一直是黑客最喜欢入侵的目标,能产生不错的收益,入侵方法也不复杂。大量入侵工具的出现,让小学生也能轻松入侵网站。
而几乎所有企业网站都存在安全漏洞。因为都是外包给建站公司开发,建站公司只注重功能和时间,不会在安全方面多加考虑。
下面我们讲述一下网站安全中的常见漏洞和应对方法,当然最好的解决办法还是修复程序。
二、SQL注入
SQL注入是利用程序不严谨,传递一些特殊SQL命令,读取或篡改数据库。通过此种手段,黑客可以取得网站后台权限,再实施新的入侵。
下面我们演示如何不用账户密码登录后台。判断账户密码是否正确的SQL语句一般如下写:
user=request("user")
password=request("password")
sql="select * from [admin] where user='" & user & "' and password='" & password & "'"
如果在用户名和密码输入框都填写:x' or 'a'='a
此时SQL语句就变成了:select * from [admin] where user='x' or 'a'='a' and password='x' or 'a'='a'
这样就可以成功登录网站后台,无需正确的用户名和密码,是不是很简单?
防御方法其实也很简单。
最低0.47元/天 解锁文章
297
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
