因为每个数据库都可能有漏洞,就像系统一样。那么某些人就会针对这些漏洞,写针对性的代码
注入思路是这样;发现SQL注入位置;判断服务器类型和后台数据库类型;确定可执行情况
注入法:
从理论上说,认证网页中会有型如:
select * from admin where username='XXX' and password='YYY' 的语句,若在正式运行此句之前,如果没有进行必要的字符过滤,则很容易实施SQL注入。
如在用户名文本框内输入:abc’ or 1=1-- 在密码框内输入:123 则SQL语句变成:
select * from admin where username='abc’ or 1=1 and password='123’ 不管用户输入任何用户名与密码,此语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
我上边的是粘贴的,没怎么看懂。
防止注入:
对于jsp一般会
如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.
其余的方法有兴趣可以参考这里
http://www.blogjava.net/GavinMiao/archive/2011/08/24/357182.html |