成都赛维思网络技术有限公司

新闻资讯

当前位置:首页 > 新闻资讯 > 网站建设开发

表单遭到SQL注入攻击

来源:成都网站建设    作者:赛维思网络    发布日期:2014-04-04    浏览:747次

表单的攻击被称为一种SQL注入攻击,这里用到一种极其狡猾的手段,使用表单数据作为一种途径来修改查询的基本操作。所以表单域并不只是提供一段信息。如用户或其它数据,它还会扰乱SQL查询本身。对于SQL注入使用了其它的一个域作为手段,不仅可以提供数据,还提供了截屏图文件名和批准值,一起最后的一个注释来防止原SQL代码生成一个错误。

表单域是web应用的一个安全漏洞,因为它们允许用户输入数据。在SQL中还有其它类型的注释,单行注释的另一种变型需要用到#而不是--,不过它同样会将注释之后直到行末的SQL代码注释掉。SQL还支持多行注释,与PHP 的多行注释相似,也是将注释代码包围在/*和*/之间。

如果approved列不在数据库表的最后一列,SQL注入攻击就不能起到作用了。这一点非常重要,这个特定的INSERT查询依赖于表中列的默认顺序。在查询的左后增加1之所以恰好能生效,其原因就在于approved是最后一列,就在screenshot列后面。


 

Copyright © www.svis.cn All Rights Reserved. 成都赛维思网络技术有限公司  蜀ICP备13002520号-3   Sitemap