SQL注入是一個比較“古老”的話題,雖然現(xiàn)在存在這種漏洞的站點比較少了,我們還是有必要了解一下它的危害,及其常用的手段,知己知彼方能百戰(zhàn)不殆。進攻與防守相當(dāng)于矛和盾的關(guān)系,我們?nèi)绻芮宄私?/p>

攻擊的全過程,就可以更好的預(yù)防類似情況的出現(xiàn)。

 SQL注入原理   主要是攻擊者,利益被攻擊頁面的一些漏洞(通常都是程序員粗心大意造成的),改變數(shù)據(jù)庫執(zhí)行的SQL語句,從而達到獲取“非授權(quán)信息”的目的。

    下面自己搭建了實驗環(huán)境用于測試。  首先交待一下,測試環(huán)境 開發(fā)語言為 Asp.net  ,數(shù)據(jù)庫使用的 MSQL ,測試頁面模擬了普通的新聞頁面,URL里接受參數(shù) ?id=1  獲取文章ID,

后臺直接通獲取的ID拼接查詢語句,沒有做敏感字符的過濾,從而為入侵者留下了有機可剩的漏洞.下面是后臺代碼:

平面設(shè)計培訓(xùn),網(wǎng)頁設(shè)計培訓(xùn),美工培訓(xùn),游戲開發(fā),動畫培訓(xùn)

    public partial class NewsInfo : System.Web.UI.Page
    {        protected NewsModel _news = new NewsModel();        protected void Page_Load(object sender, EventArgs e)
        {            var id = Request["id"];   &n