解讀ASP程序執(zhí)行SQL語句時(shí)防止注入攻擊的問題_ASP教程
教程Tag:暫無Tag,歡迎添加,賺取U幣!
推薦:揭秘asp常用函數(shù)庫大全’-----------------FLYSOBlogASP站點(diǎn)開發(fā)常用函數(shù)庫------------------ ’OpenDB(vdata_url)--------------------打開數(shù)據(jù)庫 ’getIp()-------------------------------得到真實(shí)IP ’getIPAdress(sip)------------------------查找ip對應(yīng)的真實(shí)地址 ’IP2Num
以下是一個(gè)簡單的用戶更改密碼的代碼---------------------
username=request("user_name")
pwd=request("pwd")
username=replace(username,"’","’’")
pwd=replace(pwd,"’","’’")
sql="update tbl_test set pwd=’" & pwd & "’ where uid=’" & username & "’"
set rs=conn.execute (sql)
--------------
現(xiàn)在,假如我注冊一個(gè)用戶,用戶名為 aa’; exec sp_addlogin ’haha
當(dāng)該用戶更改密碼時(shí)(假設(shè)改為pp),會(huì)出現(xiàn)什么后果呢??
sql變?yōu)?nbsp;update tbl_test set pwd=’pp’ where uid=’aa’ ; exec sp_addlogin ’haha’
結(jié)果是用戶密碼沒有被修改,因?yàn)闆]有 aa這個(gè)用戶,
但在你的數(shù)據(jù)庫中創(chuàng)建了一個(gè)登陸,新登陸名為 haha
將用戶名稍加修改,實(shí)際上可以運(yùn)行任何sql語句,任何sql系統(tǒng)過程
而這一切都在你不知情的情況下發(fā)生的,實(shí)際上,上面的只是一個(gè)
示范,稍微修改一下用戶名,我們可以做添加一個(gè)DBA賬號(hào),刪除所
有紀(jì)錄,讀取用戶密碼等越權(quán)操作。
分享:詳解將ASP頁面改為偽靜態(tài)的簡單方法目前很多網(wǎng)站都采用生成靜態(tài)頁的方法,原因是這樣訪問速度會(huì)得到提高(服務(wù)器端CPU利用率很低),另外也容易被搜索引擎收錄,但是這帶來的一個(gè)問題就是需要足夠大的空間存放這些靜態(tài)頁面,如果你的空間不是很富裕,而又想有利于被搜索引擎收錄,其實(shí)可以采用偽
相關(guān)ASP教程:
- asp FSO 讀寫文件本文件實(shí)現(xiàn)代碼
- asp中isNull、isEmpty和空字符串的區(qū)別
- asp獲取用戶真實(shí)IP地址的方法
- asp連接sqlserver數(shù)據(jù)庫實(shí)現(xiàn)代碼
- asp中正則表達(dá)式過濾html代碼函數(shù)
- asp中g(shù)et post提交表單區(qū)別
- 網(wǎng)頁模板:ASP內(nèi)建對象Request
- xmlhttp的open方法使用詳解
- ASP的常用的自定義函數(shù)大全
- asp中用for循環(huán)的一個(gè)小技巧
- eWebEditor v3.8 列目錄
- ASP無組件分頁實(shí)現(xiàn)思路及代碼
- 相關(guān)鏈接:
- 教程說明:
ASP教程-解讀ASP程序執(zhí)行SQL語句時(shí)防止注入攻擊的問題。