【VB】学生管理系统总结(五)

最新推荐文章于 2022-10-17 09:41:15 发布
最新推荐文章于 2022-10-17 09:41:15 发布
阅读量518 收藏 1
点赞数 1
分类专栏: vb 文章标签: 数据库 管理 sql注入 web表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s18832676367/article/details/78013719
版权

#SQL注入:

定义:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。
  
  SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的 数据 库配置;③不合理的查询集处理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。

SQL注入攻击的总体思路:
        ·发现SQL注入位置;
        ·判断后台数据库类型;
        ·确定XP_CMDSHELL可执行情况
        ·发现WEB虚拟目录
        ·上传ASP木马;
        ·得到管理员权限

#问题背景:

我们在学习系统的登录界面时有这么一段代码:

txtSQL = "select * from user_info where user_ID='" & txtUserName.Text & "'"

当你在登陆学生管理系统的时候,添加的用户名若和你数据库中的数据不符时,就会弹出一个窗体,告诉你没有这个用户,但是当你在用户名中输入数字或者字母外加英文状态下的单引号,比如:“a’”,“‘or 1=1#”两个单引号括起来的部分是判断输入的用户名是否和数据库中一致,但你输入“a’”时,就会在两个单引号之间添加了一个单引号,结果可想而知,数据库无法连接,所以就无法登陆。
解决办法:

'sql注入简便方法
Private Sub txtUserName_KeyPress(KeyAscii As Integer)
    If KeyAscii = 39 Then           '如果输入的是单引号
       KeyAscii = 0
    End If
End Sub

'sql注入全面的方法
Private Sub txtusername_Change()
Dim s As String
Dim ss As Long
Dim l As Long
Dim i As Long

s = ",。、;’【】·!@#¥%……&*()——+|~《》?:“{}',.;\/:*?""<>|{}[]!@#$%$^&()~`_-+="  '需要禁止的字符都放这里吧

ss = txtUserName.SelStart 'selstart是选中文本的开始位置

For i = 1 To Len(s) 'len(s)求s的长度
l = Len(txtUserName.Text)
txtUserName.Text = Replace(txtUserName.Text, Mid(s, i, 1), "") 'replace是SQL语句里面的替换,把txtusername.text里面的mid(s,i,l)替换为“”
'Mid就是从一个字符串中取子字符串,比如a="aabbcc",我们想取出"bb"就可以用Mid("aabbcc",3,2)
Next
txtUserName.SelStart = ss
End Sub

#预防措施:

  1. 永远不要信任用户的输入。对用户的输入进行校验,可以通过 正则表达式 ,或限制长度;对单引号和双"-"进行转换等。
  2. 永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用 存储过程 进行数据查询存取。
  3. 永远不要使用 管理员 权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  4. 不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
  5. 应用的异常信息应该给出尽可能少的提示,最好使用自定义的 错误信息 对原始错误信息进行包装
  6. sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具、MDCSOFT SCAN等。采用 MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
Vic·S
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 36
    评论
专栏目录
学生管理系统 系统权限设置大全
10-09
对网页的权限设置的问题,做了详细的数据库设计 在字段名做详细的介绍 学生表 S 开课表 C
QT项目-学生管理系统
weixin_62285711的博客
08-15 3240
本文章主要讲解本人在QT学习期间所开发的项目-学生管理系统
基于QT的学生管理系统的设计与实现
毕业作品网站
10-17 4418
本系统主要用于学校学生信息管理,总体任务是实现学生信息关系的系 统化、规范化和自动化,其主要任务是用计算机对学生各种信息进行日常管理, 如查询、修改 、增加、删除,另外还考虑到学生选课,针对这些要求设计了学 生信息管理系统;本系统主要用于学校学生信息管理,总体任务是实现学生信息 关系的系统化、规范化和自动化,其主要任务是用计算机对学生各种信息进行日 常管理,如查询、修改 、增加、删除,另外还考虑到学生选课,针对这些要求 设计了学生信息管理系统。随着学生数量的增加,带来学生信息量的剧增。
Qt学生信息管理系统
yinyuchen1的博客
07-13 6578
本来是拿来做毕业设计的,但是名字太土了,老师没让做毕业设计,下面是学生信息管理系统的图片,具体实现功能,使用了MySQl数据库,重写了MessageBox,文件解析,分别解析了xml文件,INI配置文件,以及JSON数据,并且学生数据可以使用Excel进行导入导出,学生信息管理系统可以跳转到学校学院网站以及学校教务处网站,还能进行本地视频播放,查询省或者市的天气预报,采用了QSS布局,以及画图控件
学生信息管理系统总结——细节问题
君君的博客
07-28 2642
学生信息管理
vb.rar_学生管理系统 vb
09-23
总结:这个“vb.rar_学生管理系统 vb”压缩包提供了开发VB学生管理系统的源代码,同时附带了一些与阅读和学习资源相关的信息。对于学习VB编程和想构建学生管理系统的初学者,这是一个宝贵的学习材料,可以帮助他们...
VB制作学生成绩管理系统
05-22
### 用VB制作学生成绩管理系统的关键知识点 #### 一、项目背景与目标 - **项目背景**:随着教育信息化的发展,传统的手工管理学生成绩的方式已经无法满足现代教学管理的需求。为此,东华理工大学长江学院的学生开发...
VB学生信息管理系统.rar
最新发布
06-03
总结起来,VB学生信息管理系统是一个综合运用VB编程语言、数据库技术和人机交互设计的实例。通过这个系统,我们可以学习到如何构建一个实用的信息管理系统,同时也为进一步学习更复杂的软件开发奠定了基础。
VB.rar_VB 学籍管理系统_学生学籍管理系统
09-19
总结来说,VB学籍管理系统展示了VB在实际应用中的强大功能,不仅简化了开发流程,也提供了高效的学生信息管理工具。对于教育机构而言,这样的系统可以极大地提高工作效率,减少人工错误,同时也能为决策提供数据支持...
VB学生管理系统论文范文
03-23
标题:VB学生管理系统论文范文 描述与标签:本论文探讨了如何在Visual Basic 6.0环境下,结合Access数据库,构建一套高效的学生管理系统。通过详细分析当前学生管理中存在的问题,提出了利用计算机技术优化管理流程...
使用Qt5编写一个学生管理系统
weixin_45233585的博客
10-02 7681
程序使用Qt5编写了一个学生管理系统 首先介绍一下项目框架,项目包含一个主窗口mainwindow Mainwindow使用的就是最常见的Mainwindow带对话框的,带标题栏等等的窗口 两个子窗口(一个学生信息录入界面,一个学生信息查询界面),这两个窗口都是dialog without buttons的dialog窗口 下面截图是程序pro的框架,类Mianwindow是主窗口,类dia...
学生管理系统总结
自律即是最自由
08-15 4029
学生管理系统是我接触的第一个小系统!现在首先来说一下 我从开始前到进行中和结束后的经历和感受!         开始前,感觉很神奇,因为在日常生活中我们会接触到各种系统,但是可能从来没有想过他是怎么弄出来的。所以在开始学生管理系统之前,给我的感觉就是“神奇”!         进行中;         代码和窗体的构建!看着PDF文档,先是被ER模型和一些数据库的表的创建内容搞蒙了!后来才知
Qt实现学生信息管理系统(一)
红颜若雪的博客
02-23 8614
最近一段时间在学习qt,我参照了网上的一些资料做了一个十分简单的数据库管理系统。 一. 界面如下 登录界面: 主界面如下: 添加修改界面如下 二.界面样式 这是参照网上的例子做的,并对其做了一些更改。 今天我们先来介绍一下:登录界面是怎么做的: 登录界面很简单,没有用背景图片,只用到了qss样式。界面是由两个label,一个按钮,连个编辑框组成的。 QSS样式如下:...
学生管理系统的心得
走在成功的路上
05-22 3530
事过境迁,我的学生管理系统终于有了眉目,很开心,开心之余,不忘写一篇博客来庆祝一下     下面,我就来说一下我对管理系统的理解                  首先我先说一下学生管理系统运行过程                 1 模块里面的sub main()    在这个过程里,它首先是重新定义了一个登陆窗体,显示这个窗体,,注意,第一步还没完呢 进入第二步            
学生系统项目完成总结
mazhaochen的博客
01-17 426
首先我们敲完学生系统之后要知道,学生管理系统一共有四个部分,增改查设,下面是我总结的导图 下面是我最后验项目时产生的一个问题,就是**时间控件 这种情况需要添加一个叫做Date TimePicker的控件 具体位置在工程—部件—microsoft windows common control-2 6.0(sp6)会得到DTPicker,这个就是我们要的控件 它可以为我们提供格式化的日期字段,更容易...
学生管理系统总结(一)
阿杰
12-02 2057
前言学生管理系统做了一段时间了,有很多问题需要自己解决,敲完代码之后就是调试,在这个过程之中感觉自己收获到很多以下是一些常见的错误,总结一下,以后有类似错误可以有一个方向。主要内容1.变量未定义 该错误大概有三种情况:(1)写错了默认变量类型名,即Dim – 后面的类型。(2)未引用部件等对象。(3)窗口名称写错或未创建该窗口。 2.对象变量或 With 块变量未设置 创建对象变量
VB】学生信息管理系统5——数据库代码
热门推荐
follow your heart
12-19 1万+
这次学生信息管理系统在代码的理解过程中遇到了一些问题。总结如下: 1.***** sql server的安装过程各个步骤的意思.在安装SQL Server的时候按照网上的步骤,我觉得这个需要学完整个数据库再返回头去看,或许就能明白,为什么要那样设置了。 2.***** 游标 最初听到游标这个东西,想到游标卡尺。这里的游标是查询返回的一个结果集和游标位置共同组成的。当我们在使用......
金店管理系统的几个经验和教训
xuela-net
10-03 157
最近我带三个人的小组做金店管理系统,有收获也有教训。简单的总结一下。 1、如果可以在做需求的时候先把UI做出来,或许可以更好的理解需求,架构和设计做起来更加顺手,如果先从大的框架开始写,然后去考虑UI设计,效果会差很多。可不可以这样理解呢:做UI本身也是在做需求,更加容易的了解软件需要的功能和要求。能不能再以后的开发中把UI的要求做成需求分析的一部分呢? 2、做开发最重要的是约束和量化,...
使用VB和Access开发的学生档案管理系统
VB学生档案管理系统源代码,适合初学者学习,使用Visual Basic编程语言和Access 2000数据库进行开发,实现对学生档案的管理,包括用户界面、数据库设计及连接。” 《VB学生档案管理系统》是一款基于Visual Basic ...
评论 36
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值