|
|
主题: 对于SQL注入的防范没做明白~
|
我有BLOG了
职务:普通成员
等级:4
金币:16.8
发贴:2209
|
#12004/6/1 11:34:13
看到很多朋友都对注入很明白,我也一直没好好看,这几天找了些文章仔细看了看,主要是防御,用过虑一些特殊字符方法~
我想问一下,SQL注入到底给我们带来什么直接的损失?
那种注入方法可以得到数据库的什么资料,例如一条记录,如果记录的密码是MD5加密,是否注入得到也没用~哪位大哥明白给我说说
|
大当家
职务:普通成员
等级:3
金币:1.0
发贴:767
|
#22004/6/1 12:22:34
前两天对这个SQL注入仔细看了一下,并拿一网站做了试验  ,并且成功得到收费会员用户名和密码 ... MD5加密也不是绝对安全,如果采用MD5加密,或者用暴力解密方式能够得到密码 .~ 对于过滤一些特殊字符,只是基本的防注入 .. 其实都是这些都是运气和巧合,如果把存用户名和密码的表和相应字段取得无规律,那一些 简单的注入不就没得玩了? 
|
我有BLOG了
职务:普通成员
等级:4
金币:16.8
发贴:2209
|
#32004/6/1 13:00:18
唉,楼上的说重点,所谓SQL入住,是否是就是得到了超级用户的管理权限,而不能相应的添加记录~~~
|
大当家
职务:普通成员
等级:3
金币:1.0
发贴:767
|
#42004/6/1 14:28:41
网上流传的那些SQL注入基本思想就是得到某个权限,而SQL注入绝对不只这么一丁点儿。
|
janlay
职务:管理员
等级:7
金币:28.0
发贴:7244
|
#52004/6/1 14:34:35
基本上 sql 语句能做的任何事情,在注入攻击中都可以完成,简单的记录插入、更新、删除就不在话下了。 建议先学习一下sql的语法,它可以复杂得让你感到惊讶 
|
我有BLOG了
职务:普通成员
等级:4
金币:16.8
发贴:2209
|
#62004/6/3 9:59:40
感谢楼上两个前辈的指点,正在苦攻中...............
|
