Sql 注入漏洞

來源:互聯網
上載者:User

 今天學習Servlet時,學習到的Sql注入漏洞的知識。

Code:
  1. select *from users where username='admin' and passwd='admin';  
  2. select *from users where username='dsa' and passwd='cdsa' or 1='1';  

第一行代碼,是符合要求的代碼,按照要求尋找使用者名稱和密碼。

第二行代碼,就是Sql注入漏洞了。'dsa'以及'cdsa' 是隨便輸入的。只要是username='XXX' and passwd='XXX' or 1='1'
就可以了。

這樣的話就可以將資料庫中這張表的所有的記錄查出來。

所以如果在編寫網站時,沒有考慮這個漏洞的話。結果是:

在使用者名稱的輸入框中輸入XXX(XXX表示任意輸入)

在密碼的輸入框中輸入       XXX' or 1='1(XXX表示任意輸入)

點擊登入後照樣可以登入。

當然這是對於新手編寫的網站可以用這種方法試試。大型的網站,估計人家早就彌補了。

ps:我的新部落格地址:http://www.xinghaixu.com

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.