黑马程序员技术交流社区

标题: 什么叫SQL注入漏洞攻击？ [打印本页]

---

作者: 吴清华    时间: 2012-7-29 10:01
标题: 什么叫SQL注入漏洞攻击？
什么叫SQL注入漏洞攻击？

---

作者: 张腾达    时间: 2012-7-29 10:09
概念不会说··
举个例子
加入sql语句为"select * from tb_usertable where name='"+用户名文本框的值+"'and password='"+密码框的值+"'"
那么用户名随意写 密码填写1'or'1'='1
这样最后的sql语句拼起来是select * from tb_usertable where name='"+nihao+"'and password='1'or'1'='1' 后半句有个永远成立的1=1
这样……就绕过了··08年琢磨破网吧数据库给自己充钱时百度搜到的··那时候关键词好像是“网站后台万能密码”{:soso_e143:}

---

作者: 陈汉维    时间: 2012-7-29 10:30
楼上讲得非常正确，为了防止SQL注入攻击
可以这样写：
cmd.CommandText = "select count(*) from T_user where name = @N and password = @P";
cmd.Parameters.Add(new SqlParameter("N",name));
cmd.Parameters.Add(new SqlParameter("P",password));
详情你可以看看杨中科的SQL视频，里面讲得非常清楚

---

欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/)

黑马程序员IT技术论坛 X3.2