MYSQL网页编程之三步堵逝世SQL注进毛病
那时候Sybase已经诞生了6年的时间。至于其他值得关注的开源数据库,PostgreSQL将在2009年达到20岁的生日。虽然MySQL并不是市场上最年轻的数据库,但是却有更多成熟的数据库可供我们选择。SQL注进是甚么?很多网站程序在编写时,没有对用户输出数据的正当性举行判别,使使用程序存在平安隐患。用户能够提交一段数据库查询代码(通常为在扫瞄器地点栏举行,经由过程一般的www端口会见),依据程序前往的了局,取得某些想得知的数据,这就是所谓的SQLInjection,即SQL注进。
网站的噩梦――SQL注进
SQL注进经由过程网页对网站数据库举行修正。它可以间接在数据库中增加具有办理员权限的用户,从而终极取得体系办理员权限。黑客能够使用取得的办理员权限恣意取得网站上的文件大概在网页上加挂木马和各类歹意程序,对网站和会见该网站的网友都带来伟大伤害。
进攻SQL注进有妙法
第一步:良多老手从网高低载SQL通用防注进体系的程序,在必要提防注进的页面头部用来避免他人举行手动注进测试。
但是假如经由过程SQL注进剖析器便可轻松跳过防注进体系并主动剖析其注进点()。然后只必要几分钟,你的办理员账号及暗码就会被剖析出来()。
第二步:关于注进剖析器的提防,笔者经由过程实行,发明了一种复杂无效的提防办法。起首我们要晓得SQL注进剖析器是怎样事情的。在操纵过程当中,发明软件并非冲着“admin”办理员账号往的,而是冲着权限(如flag=1)往的。如许一来,不管你的办理员账号怎样变都没法逃过检测。
第三步:既然没法逃过检测,那我们就做两个账号,一个是一般的办理员账号,一个是避免注进的账号,为何这么说呢?笔者想,假如找一个权限最年夜的账号打造假象,吸引软件的检测,而这个账号里的内容是年夜于千字以上的中笔墨符,就会迫使软件对这个账号举行剖析的时分进进全负荷形态乃至资本耗尽而逝世机。上面我们就来修正数据库吧。
1.对表布局举行修正。将办理员的账号字段的数据范例举行修正,文本型改成最年夜字段255(实在也够了,假如还想做得再年夜点,能够选择备注型),暗码的字段也举行不异设置。
2.对表举行修正。设置办理员权限的账号放在ID1,并输出大批中笔墨符(最好年夜于100个字)。
3.把真实的办理员暗码放在ID2后的任何一个地位(如放在ID549上)。
我们经由过程下面的三步完成了对数据库的修正。
这时候是否是修正停止了呢?实在否则,要分明你做的ID1账号实在也是真正有权限的账号,如今盘算机处置速率那末快,如果赶上个必定要将它算出来的软件,这也是不平安的。我想这时候年夜多半人已想到了举措,对,只需在办理员登录的页面文件中写进字符限定就好了!就算对方利用这个有上千字符的账号暗码也会被盖住的,而真实的暗码则能够不受限定。
尽管DBaaS模式有缺点,但它还是适合某些客户群体,这为解决方案提供商提供了新的商机。鉴于云服务的增长,解决方案提供商除了拥抱这些技术还有什么选择呢?如果他们不这样做,他们就会冒着被竞争对手击败的风险。但他们不能只想到如何把DBaaS的利润率与企业内部系统相比较。 比如,MicrosoftSQLServer2008的某一个版本可以满足现在的这个业务的需要,而且价格还比Oracle11g要便宜,那么这一产品就是适合的。 我是一个ERP初学者,对于前台运用基本熟悉,但对于后台SQLServer的运用一点也不懂,特想学习下相关资料。至少懂得一些基本的运用。希望各位能给于建议,小弟再谢过! 以前的DTS轻盈简单。但是现在的SSIS虽然功能强大了很多,但是总是让人感觉太麻烦。看看论坛中询问SSIS的贴子就知道。做的功能太强大了,往往会有很多用户不会用了 这一点很好的加强了profiler的功能。但是提到profiler提醒大家注意一点。windows2003要安装sp1补丁才能启动profiler。否则点击没有反应。 你可以简单地认为适合的就是好,不适合就是不好。 发几份SQL课件,以飨阅者 如果我们从集合论(关系代数)的角度来看,一张数据库的表就是一组数据元的关系,而每个SQL语句会改变一种或数种关系,从而产生出新的数据元的关系(即产生新的表)。 至于淘汰的问题,只能说在你的项目周期之内,微软应该都不会倒闭。
页:
[1]