例如: sql注入攻击 @H@R502_448@0@XSS攻击 @H@R_502_448@_0@<div class="codetitle"><a style="CURSOR: pointer" data="11458" class="copybut" id="copybut11458" onclick="doCopy('code11458')"> 代码如下:
例如: sql注入攻击 @H@R502_448@0@XSS攻击 @H@R_502_448@_0@<div class="codetitle"><a style="CURSOR: pointer" data="11458" class="copybut" id="copybut11458" onclick="doCopy('code11458')"> 代码如下:
username
='$user' or password
='$pwd'"){ @H@R_502_448@_0@echo "用户成功登陆.."; @H@R502_448@0@} eles { @H@R_502_448@_0@echo "用户名或密码出错"; @H@R502_448@0@} @H@R_502_448@0@?> @H@R_502_448@0@user
=''or‘1'=1' or pass
=‘xxxx' @H@R_502_448@_0@当然也不会出现什么错误,因为or在sql的语句中代表和,或的意思。当然也会提示错误。 @H@R502_448@_0@当时我们已经发现了可以执行sql语句之后就可以查询当前表的所有信息。例如:正确的管理员账户和密码进行登录入侵。。 @H@R502_448@0@修复方式1: @H@R_502_448@0@使用javascript脚本过滤特殊字符(不推荐,指标不治本) @H@R_502_448@_0@如果攻击者禁用了javascript还是可以进行sql注入攻击。。 @H@R502_448@0@修复方式2: @H@R_502_448@_0@使用MysqL的自带函数进行过滤。 @H@R502_448@_0@见代码: @H@R502_448@_0@<div class="codetitle"><a style="CURSOR: pointer" data="81146" class="copybut" id="copybut81146" onclick="doCopy('code81146')"> 代码如下:username
='$user'"); @H@R_502_448@0@?> @H@R_502_448@0@