请问别人是通过什么方法盗取网站后台密码的? 一般通过SQL注入,具体的网上很多这种文章 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 也许是你的后台的帐号和密码太简单了而且你的传递信息的时候没有encode,SQL注入等等安全问题本身就是大课题~~ 拿把刀,架在管理员脖子上,“ip,ic,iq,it卡,通通告诉我密码” 安全性方面要修改,主要是sql注入. SQL注入式漏洞新用户名填' or '1'='1密码随便填就可以登录了防范措施:使用Command和Parameter获取数据如使用Access数据库,文件名使用.mdb做扩展名,并未做其他限制,被人猜到数据库名下载了去,看什么密码都可以了防范措施:文件名使用#asdfkl.mdb 或 #asdfasdf.asp magic_quotes_gpc这个打开。和在 例如 $sql = "....... name=$in_name" 改成 $sql = "....... name='$in_name'" 来限制变量范围。还可以在执行sql 把 $in_name 的长度给限制一下,如限制长度到你数据库字段接受的最大长度,太长话的可能是注入语句来的。 后台还可以多层认证 可以利用APACHE,HTTP进行首次认证后才可以进入后台登陆,虽然对于高手来说不算什么 可是对付一般人也有效果 DIV+CSS中的HTML标签有什么作用 会PHP的兄弟们 谁愿意和我组成魔豆精灵的团队哪 关于include_once的问题!很头疼! zendStudio js不能保存中文 PHP 文件上传问题 在php中用adodb连接sybase client时出错 关与php中两个不同类之间的调用 高分求解php如何实现后台的命令调用?! php 如何提取png图片的内容? mkdir函数后面的八进制参数表那里有或者有谁知道,请救命啊,我建立的目录手工删除不了,参数为0777 mysql查询语句 group by 取得新纪录 高薪聘请网络工程师(>5000rmb/月)(急):
而且你的传递信息的时候
没有encode,SQL注入等等安全问题本身就是大课题~~
新用户名填
' or '1'='1
密码随便填就可以登录了
防范措施:使用Command和Parameter获取数据如使用Access数据库,文件名使用.mdb做扩展名,并未做其他限制,被人猜到数据库名下载了去,看什么密码都可以了
防范措施:文件名使用#asdfkl.mdb 或 #asdfasdf.asp
这个打开。
和在 例如 $sql = "....... name=$in_name" 改成 $sql = "....... name='$in_name'" 来限制变量范围。
还可以在执行sql 把 $in_name 的长度给限制一下,如限制长度到你数据库字段接受的最大长度,太长话的可能是注入语句来的。