新闻中心
无忧主机浅谈网站sql注入挂马
无忧主机(www.51php.com)六年来运营实践,见过太多的网站、服务器被通过sql的方式注入,被侵害。在这些做网维的日子里,看到好多新手站长,对这个sql注入认识不够,没有意识到sql注入是多么的危险和可怕。无忧主机今天将简单说说sql注入的问题。 下面是一个sql注入的简单分析,,只是让大家sql注入有多危险,引起大家的警觉,这个是本教程的目的。 看下面一个用户登录界面的中的一条语句,一般我们都会用:“SELECT * FROM usr WHERE USERNAME='$usr' AND PASSWORD='$pwd' ”来进行验证。然后判断,得到结果就可以成功登录系统。 假设我们的用户名填写 51php' or 'aaa'='aaa ;密码任意输入,然后查询语句如下: SELECT * FROM usr WHERE USERNAME='51php' or 'aaa'='aaa' AND PASSWORD='pwd'; 这样就绕过登录程序,直接登录系统。通过注入方式,是不是很简单的就进入你的系统了类?上面的语句,只是单纯的登录了你的系统,如果在改一下:“51php' ; DELETE FROM usr; #。这样子,查询的语句就变成两种结果,一是查询,二是将数据表给删除,破坏数据库的结构,这就如“案板上的肉”任人宰割,什么时候都有可能发生。如果有备份,那么直接备份把,如果没有备份,下场是凄凉的。这也是无忧主机(www.51php.com),在文档非常强调网站数据要勤备份的原因。如果你还会在偷懒,推荐你读读360度全方位讲解无忧网站数据库备份。 SELECT * FROM usr WHERE USERNAME='51php';DELETE FROM usr;#' AND PASSWORD='pwd';这样子,这条查询语句在执行的时候就变成了两个。所以说,任何的表单都要验证数据的有效性,要不然被人利用了漏洞,导致系统安全就得不偿失了。 无忧主机 提供美国/香港 纯Linux环境下高端免备案php空间,仅仅只需99元一年起。
本文地址:https://www.51php.com/mysql/1661.html