欧美久久天天综合香蕉伊,h片在线免费观看,九九欧美,欧美1区2区3区,日本在线不卡一区,国产视频久久久,91久久久久久久

2023信創(chuàng)獨(dú)角獸企業(yè)100強(qiáng)
全世界各行各業(yè)聯(lián)合起來(lái),internet一定要實(shí)現(xiàn)!

不當(dāng)編寫SQL語(yǔ)句導(dǎo)致系統(tǒng)不安全

2004-02-11 eNet&Ciweek

  在一般的多用戶應(yīng)用系統(tǒng)中,只有擁有正確的用戶名和密碼的用戶才能進(jìn)入該系統(tǒng)。我們通常需要編寫用戶登錄窗口來(lái)控制用戶使用該系統(tǒng),這里以Visual Basic+ADO為例:

  一、漏洞的產(chǎn)生

  用于登錄的表

  Users(name,pwd)

  建立一個(gè)窗體Frmlogin,其上有兩個(gè)文本框Text1,Text2和兩個(gè)命令按鈕cmdok,cmdexit。兩個(gè)文本框分別用于讓用戶輸入用戶名和密碼,兩個(gè)命令按鈕用于“登錄”和“退出”。

  1、定義Ado Connection對(duì)象和ADO RecordSet對(duì)象:

  Option Explicit

  Dim Adocon As ADODB.Connection

  Dim Adors As ADODB.Recordset

  2、在Form_Load中進(jìn)行數(shù)據(jù)庫(kù)連接:

  Set Adocon = New ADODB.Connection

  Adocon.CursorLocation = adUseClient

  adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" && _

  App.Path && " est.mdb;"

  cmdok中的代碼

  Dim sqlstr As String

  sqlstr = "select * from usersswheresname='" && Text1.Text && _

  "' and pwd='" && Text2.Text && "'"

  Set adors = New ADODB.Recordset

  Set Adors=Adocon.Execute(sqlstr)

  If Adors.Recordcount>0 Then //或If Not Adors.EOF then

  ....

  MsgBox "Pass" //通過(guò)驗(yàn)證

  Else

  ...

  MsgBox "Fail" //未通過(guò)驗(yàn)證

  End if   

  運(yùn)行該程序,看起來(lái)這樣做沒(méi)有什么問(wèn)題,但是當(dāng)在Text1中輸入任意字符串(如123),在Text2中輸入a' or 'a'='a時(shí),我們來(lái)看sqlstr此時(shí)的值:

  select * from usersswheresname='123' and pwd='a' or 'a'='a'

  執(zhí)行這樣一個(gè)SQL語(yǔ)句,由于or之后的'a'='a'為真值,只要users表中有記錄,則它的返回的eof值一定為False,這樣就輕易地繞過(guò)了系統(tǒng)對(duì)于用戶和密碼的驗(yàn)證。

  這樣的問(wèn)題將會(huì)出現(xiàn)在所有使用select * from usersswheresname='" && name && "' and pwd='" && password &&"'的各種系統(tǒng)中,無(wú)論你是使用那種編程語(yǔ)言。

  二、漏洞的特點(diǎn)

  在網(wǎng)絡(luò)上,以上問(wèn)題尤其明顯,筆者在許多網(wǎng)站中都發(fā)現(xiàn)能使用這種方式進(jìn)入需要進(jìn)行用戶名和密碼驗(yàn)證的系統(tǒng)。這樣的一個(gè)SQL漏洞具有如下的特點(diǎn):

  1、與編程語(yǔ)言或技術(shù)無(wú)關(guān)

  無(wú)論是使用VB、Delphi還是ASP、JSP。

  2、隱蔽性

  現(xiàn)有的系統(tǒng)中有相當(dāng)一部分存在著這個(gè)漏洞,而且不易覺(jué)察。

  3、危害性

  不需要進(jìn)行用戶名或密碼的猜測(cè)即可輕易進(jìn)入系統(tǒng)。

  三、解決漏洞的方法

  1、控制密碼中不能出現(xiàn)空格。

  2、對(duì)密碼采用加密方式。

  這里要提及一點(diǎn),加密不能采用過(guò)于簡(jiǎn)單的算法,因?yàn)檫^(guò)于簡(jiǎn)單的算法會(huì)讓人能夠構(gòu)造出形如a' or 'a'='a的密文,從而進(jìn)入系統(tǒng)。

  3、將用戶驗(yàn)證和密碼驗(yàn)證分開來(lái)做,先進(jìn)行用戶驗(yàn)證,如果用戶存在,再進(jìn)行密碼驗(yàn)證,這樣一來(lái)也能解決問(wèn)題。

相關(guān)頻道: eNews

您對(duì)本文或本站有任何意見,請(qǐng)?jiān)谙路教峤?,謝謝!

投稿信箱:tougao@enet16.com