存在SQL注入
① 正常显示(这是必然的,不然就是程序有错误了)
② 正常显示,内容基本与①相同
③ 提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)
SQL防注入处理后
①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。
当然,这只是传入参数是数字型的时候用的判断方法,实际应用的时候会有字符型和搜索型参数。
这里只做简单的介绍,具体深入的注入方式慢慢研究。
防注入处理
1、 对于用户输入的数据进行校验,去除敏感的字符串(英文 单引号,双引号,script标签)
2、 对于用户输入的数据要先进行合法化处理(例如类型转换,数据范围验证),防止用户 蓄意找找网站的漏洞来获取非法数据。
3、 每个生成的php文件进行单独访问,查看数据的输出是否正常(尤其是ajax处理的php 页面)。
4、 数据传输采用加密传输,用户密码可以采用js的md5插件进行加密传输。
5、 增加 404处理,用户输入的跳转参数错误的情况下可以直接跳转到404不显示网站的 相关信息。
6、上线前去掉php警告数据显示。