1,216
社区成员
发帖
与我相关
我的任务
分享如何在某个语句中获取关键字啊
本人比较新手,在研究SQL注入攻击问题,百度上面都是原理,个人又比较的笨,没有理解的透,想动手写个防止SQL注入攻击,但是水平太次,写不会获取关键字的这段代码,求大神能指教。比如:"1' OR '1'='1";
想获取OR,这类SQL的关键字
想获取OR,这类SQL的关键字
...全文
请发表友善的回复…
发表回复
赵4老师 2016-11-01
- 打赏
- 举报
输入内容中过滤掉单引号。
threenewbee 2016-10-31
- 打赏
- 举报
用存储过程,存储过程是预编译的,无论怎么传参数都不会注入sql
of123 2016-10-31
- 打赏
- 举报
其实用不着解析用户输入,只要合理安排你的查询流程,就可以防范此类攻击。
被攻击的查询语句一般类似下句:
"SELECT * FROM your-table WHERE user-id =‘” & txtUser & "' AND password ='" & txtPassword & "'"
如果查到记录,就允许登录。
解决方法:把语句拆成两个步骤:
"SELECT * FROM your-table WHERE user-id =‘” & txtUser & "'"
查到记录后,逐条记录比对,其 password 字段是否等于 txtPassword.txt。
因为攻击者是利用将输入的内容作为语句的功能部分来实现攻击的。当你确实只将他的输入仅作为字符串来使用,他就无计可施。
