34,590
社区成员
发帖
与我相关
我的任务
分享请问sp3中有无"单引号注入"问题?
网站使用的是sql serve2000数据库,已经装了sp3补丁,但是不知道sp3有没有解决这个"单引号注入"问题:即在网页中到数据库中取数据时Select * from user where username='tom' and password='123',如果被人鼓意改成Select * from user where username='everyboby' and password='anything' or 1='1',他便可以用Everybody的身份远程登录,获得后台管理权.请各位大侠指教,谢谢!
...全文
请发表友善的回复…
发表回复
steve_shun 2005-06-18
- 打赏
- 举报
Fanxr(ZhangFan) 说的有道理,结帖.
leongwong 2005-06-16
- 打赏
- 举报
Select * from user where username='tom' and password='123'
更改成:
Select * from user where username=''tom'' and password=''123''
更改成:
Select * from user where username=''tom'' and password=''123''
Fanxr 2005-06-16
- 打赏
- 举报
没听说这个问题解决了,对获得的数据replace一下不就好了嘛!
steve_shun 2005-06-16
- 打赏
- 举报
没有高手知道吗?
steve_shun 2005-06-14
- 打赏
- 举报
因为被黑客入侵,正在各方面找原因,所以想知道sp3在这方面具体有没有改进...
steve_shun 2005-06-14
- 打赏
- 举报
我想知道的是sp3有没有解决单引号注入的问题,请对sql server2000熟悉的高人指点,谢谢!
posonhuang 2005-06-14
- 打赏
- 举报
首先对前台获取的用户名和密码进行处理,去除', 然后密码应该加密,很多都使用md5的加密,md5加密为不可逆加密,最后用可逆加密的方法,比较方便后台管理。
