 |
| 客户帮助中心主页 |
| 域名问题 |
| 虚拟主机问题 |
| 智能虚拟主机 |
| 数据库问题 |
| 企业邮局问题 |
| 会员注册问题 |
| 财务问题 |
| 备案相关问题 |
| 程序应用问题 |
| 网站程序安全问题 |
| 产品价格总表 |
| 相关软件下载 |
| 业务常用文档下载 |
| 积分兑换问题 |
| 问题汇总 |
 |
 |
|
SQL之ASP注入漏洞
|
||
 |
||
| 入门篇 如果你以前没试过SQL注入的话,那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。 第一节、SQL注入原理 以下我们从一个网站www.mytest.com开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。 在网站首页上,有名为“IE不能打开新窗口的多种解决方法”的链接,地址为:http://www.mytest.com/showdetail.asp?id=49,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示: Microsoft JET Database Engine 错误 '80040e14' 字符串的语法错误 在查询表达式 'ID=49'' 中。 /showdetail.asp,行8 从这个错误提示我们能看出下面几点: 1. 网站使用的是Access数据库,通过JET引擎连接数据库,而不是通过ODBC。 2. 程序没有判断客户端提交的数据是否符合程序要求。 3. 该SQL语句所查询的表中有一名为ID的字段。 从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。 |
||
 |
 |
