编写SQL操作时,常常会因为不正确的使用方法导致编写得代码存在所谓得“SQL注入”得安全漏洞,请简单构造一个“SQL注入”漏洞发生得场景,即编写一个有问题的SQL访问代码,并模拟可能存在的安全问题。    高手求解!!

解决方案 »

  1. 此回复为自动发出,仅用于显示而已,并无任何其他特殊作用
    楼主【mzw1025】截止到2008-07-19 15:47:08的历史汇总数据(不包括此帖):
    发帖的总数量:1                        发帖的总分数:0                        每贴平均分数:0                        
    回帖的总数量:1                        得分贴总数量:1                        回帖的得分率:100%                     
    结贴的总数量:1                        结贴的总分数:0                        
    无满意结贴数:1                        无满意结贴分:10                       
    未结的帖子数:0                        未结的总分数:0                        
    结贴的百分比:100.00%               结分的百分比:---------------------
    无满意结贴率:100.00%               无满意结分率:---------------------
    敬礼!
      

  2. String sql = "select * from users where username = '"+username+"' and password = '"+password+"'";
    ResultSet rs = stmt.executeQuery(sql);
    if (rs.next()) {
    //成功。
    } else {
    //失败。
    }username 传 ' or 1=1--
    password 随便什么都行。
      

类似问题 »