新闻资讯
来源:成都网站建设 作者:赛维思网络 发布日期:2014-04-04 浏览:2025次
表单的攻击被称为一种SQL注入攻击,这里用到一种极其狡猾的手段,使用表单数据作为一种途径来修改查询的基本操作。所以表单域并不只是提供一段信息。如用户或其它数据,它还会扰乱SQL查询本身。对于SQL注入使用了其它的一个域作为手段,不仅可以提供数据,还提供了截屏图文件名和批准值,一起最后的一个注释来防止原SQL代码生成一个错误。
表单域是web应用的一个安全漏洞,因为它们允许用户输入数据。在SQL中还有其它类型的注释,单行注释的另一种变型需要用到#而不是--,不过它同样会将注释之后直到行末的SQL代码注释掉。SQL还支持多行注释,与PHP 的多行注释相似,也是将注释代码包围在/*和*/之间。
如果approved列不在数据库表的最后一列,SQL注入攻击就不能起到作用了。这一点非常重要,这个特定的INSERT查询依赖于表中列的默认顺序。在查询的左后增加1之所以恰好能生效,其原因就在于approved是最后一列,就在screenshot列后面。
上一篇:一个更安全的INSERT
下一篇:表单验证的必要性
Copyright © www.svis.cn All Rights Reserved. 成都赛维思网络技术有限公司 蜀ICP备13002520号-3 Sitemap