久久久国产精品,成人无码精品1区2区3区免费看,日韩男人天堂,午夜77777

鄭州信息科技中專職業(yè)學(xué)院中專部

不僅僅統(tǒng)招學(xué)歷喲

  • 熱門專業(yè)!
  • 大學(xué)校園!
  • 就業(yè)保障!
  • 拿學(xué)歷又能高薪就業(yè),誰能不愛!
了解詳情>
鄭州北大青鳥翔天信鴿參加“安心學(xué)習(xí)·放心就業(yè)”公約簽約儀式

讓每一個家庭“安心”、“放心”

  • 教學(xué)為本
  • 師愛為魂
  • 安心學(xué)習(xí)
  • 放心就業(yè)
了解詳情>
北大青鳥20周年慶典與總部年會鄭州翔天信鴿榮獲7項榮譽

深耕細(xì)作IT職業(yè)教育15載

  • 青鳥之星教學(xué)質(zhì)量大獎
  • 卓越風(fēng)云人物
  • 北大青鳥中心理事會成員
  • 七項榮耀載譽而行!
了解詳情>
鄭州北大青鳥學(xué)員喜獲全國IT精英挑戰(zhàn)賽冠軍

我們教學(xué)怎么樣

  • 實力見證
  • 網(wǎng)絡(luò)組一等獎
  • 網(wǎng)絡(luò)組二等獎
  • 軟件組四等獎
  • 200家校區(qū)脫穎而出!
了解更多>
北大青鳥榮獲315重承諾守信用放心品牌

北大青鳥職業(yè)IT20周年

  • 重承諾
  • 守信用
  • 放心品牌
  • 放心學(xué)習(xí)
  • 靠靠譜譜好就業(yè)!
了解更多>
學(xué)IT好工作高薪就業(yè)

我命由我不由天

  • 學(xué)個性的技術(shù)
  • 做愛做的事
  • 掙滿意的錢
  • 衣食無憂
  • 選擇寬且高大尚!
了解更多>
鄭州北大青鳥IT培訓(xùn)辦學(xué)14年

我們靠不靠譜

  • 14年辦學(xué)
  • 14年磨練
  • 14年成長
  • 14年探索
  • 只為讓每個學(xué)員成材!
了解更多>
鄭州北大青鳥IT培訓(xùn)

不打工也牛掰

  • 好工作
  • 好環(huán)境
  • 高薪資
  • 好課程
  • 支持你成為有“錢”人!
了解更多>

學(xué)IT就讀北大青鳥

  • 好工作
  • 好未來
  • 好老師
  • 好課程
  • 支持你成為受人尊敬的人!
了解更多>
    當(dāng)前位置: 首頁 > 河南鄭州北大青鳥學(xué)校 > 技術(shù)交流 > 數(shù)據(jù)庫
例舉SQL語句編寫不當(dāng)導(dǎo)致系統(tǒng)安全隱患
作者: 添加時間:10-13 瀏覽次數(shù):0

       大家都知道數(shù)據(jù)庫是所有系統(tǒng)中最核心的地方,數(shù)據(jù)庫的安全才是整個系統(tǒng)的安全,那么在數(shù)據(jù)庫設(shè)置時該怎樣編寫才能避免疏漏呢?今天我們河南北大青鳥中心就來給大家例舉下SQL語句編寫不當(dāng)可能導(dǎo)致的系統(tǒng)安全隱患!

       在一般的多用戶應(yīng)用系統(tǒng)中,只有擁有正確的用戶名和密碼的用戶才能進(jìn)入該系統(tǒng).我們通常需要編寫用戶登錄窗口來控制用戶使用該系統(tǒng),這里以Visual Basic ADO為例:

  一、漏洞的產(chǎn)生

  用于登錄的表
   Users(name,pwd)
  建立一個窗體Frmlogin,其上有兩個文本框Text1,Text2和兩個命令按鈕cmdok,cmdexit.兩個文本框分別用于讓用戶輸入用戶名和密碼,兩個命令按鈕用于“登錄”和“退出”.

  1、定義Ado Connection對象和ADO RecordSet對象:
  Option Explicit
  Dim Adocon As ADODB.Connection
  Dim Adors As ADODB.Recordset

  2、在Form_Load中進(jìn)行數(shù)據(jù)庫連接:
  Set Adocon = New ADODB.Connection
  Adocon.CursorLocation = adUseClient
  adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" amp;amp; _
  App.Path amp;amp; " est.mdb;"
  cmdok中的代碼
  Dim sqlstr As String
  sqlstr = "select * from usersswheresname='" amp;amp; Text1.Text amp;amp; _
  "' and pwd='" amp;amp; Text2.Text amp;amp; "'"
  Set adors = New ADODB.Recordset
  Set Adors=Adocon.Execute(sqlstr)
  If Adors.Recordcount>0 Then //或If Not Adors.EOF then
  ....
  MsgBox "Pass" //通過驗證
  Else
  ...
  MsgBox "Fail" //未通過驗證
  End if   
  運行該程序,看起來這樣做沒有什么問題,但是當(dāng)在Text1中輸入任意字符串(如123),在Text2中輸入a' or 'a'='a時,我們來看sqlstr此時的值:
  select * from usersswheresname='123' and pwd='a' or 'a'='a'
  執(zhí)行這樣一個SQL語句,or之后的'a'='a'為真值,只要users表中有記錄,則它的返回的eof值一定為False,這樣就輕易地繞過了系統(tǒng)對于用戶和密碼的驗證.
  這樣的問題將會出現(xiàn)在所有使用select * from usersswheresname='" amp;amp; name amp;amp; "' and pwd='" amp;amp; password amp;amp;"'的各種系統(tǒng)中,無論你是使用那種編程語言.

  二、漏洞的特點
  在網(wǎng)絡(luò)上,以上問題尤其明顯,筆者在許多網(wǎng)站中都發(fā)現(xiàn)能使用這種方式進(jìn)入需要進(jìn)行用戶名和密碼驗證的系統(tǒng).這樣的一個SQL漏洞具有如下的特點:

  1、與編程語言或技術(shù)無關(guān)
   無論是使用VB、Delphi還是ASP、JSP.
  2、隱蔽性
  現(xiàn)有的系統(tǒng)中有相當(dāng)一部分存在著這個漏洞,不易覺察.
  3、危害性
  不需要進(jìn)行用戶名或密碼的猜測即可輕易進(jìn)入系統(tǒng).

  三、解決漏洞的方法
  1、控制密碼中不能出現(xiàn)空格.
  2、對密碼采用加密方式.
  這里要提及一點,加密不能采用過于簡單的算法,過于簡單的算法會讓人能夠構(gòu)造出形如a' or 'a'='a的密文,從而進(jìn)入系統(tǒng).
  3、將用戶驗證和密碼驗證分開來做,先進(jìn)行用戶驗證,如果用戶存在,再進(jìn)行密碼驗證,這樣一來也能解決問題.

這些都是基本的安全知識,更多數(shù)據(jù)庫技術(shù)分享請鏈接:http:///sjk/


本文由站河南北大青鳥校區(qū)整編而成,如需了解更多IT資訊類的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問題,可以對在線咨詢老師進(jìn)行一對一問答!

分享到: