Menafsirkan masalah mencegah serangan injeksi saat program ASP menjalankan pernyataan SQL

Direkomendasikan: mengungkapkan koleksi lengkap perpustakaan fungsi yang umum digunakan untuk ASP
'--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------------

UserName = request (user_name)

PWD = Permintaan (PWD)

nama pengguna = ganti (nama pengguna, ',' ')

pwd = ganti (pwd, ',' ')

sql = updateTbl_testsetpwd = '& pwd &' whereUd = '& username &'

setrs = conn.execute (sql)

--------------

Sekarang, jika saya mendaftarkan pengguna, nama pengguna adalah aa '; execsp_addlogin' haha

Apa konsekuensi ketika pengguna mengubah kata sandi (dengan asumsi itu berubah menjadi PP)? ?

sql menjadi updateTbl_testsetpwd = 'pp' whereUid = 'aa'; execsp_addlogin 'haha'

Hasilnya adalah bahwa kata sandi pengguna belum dimodifikasi karena tidak ada pengguna AA,

Namun dalam database Anda, login dibuat, login baru bernama haha

Ubah nama pengguna sedikit, dan Anda benar -benar dapat menjalankan pernyataan SQL atau proses sistem SQL apa pun.

Dan semua ini terjadi tanpa Anda sadari, pada kenyataannya, di atas hanyalah satu

Demonstrasi, sedikit modifikasi nama pengguna, kami dapat menambahkan akun DBA dan menghapusnya

Mencatat, membaca kata sandi pengguna dan operasi utama lainnya.

Bagikan: Penjelasan terperinci tentang cara sederhana untuk mengubah halaman ASP menjadi pseudostatic
Saat ini, banyak situs web menggunakan metode menghasilkan halaman statis. Alasannya adalah bahwa kecepatan akses akan ditingkatkan (tingkat pemanfaatan CPU sisi server sangat rendah), dan juga mudah dimasukkan oleh mesin pencari. Namun, satu masalah yang dihasilkannya adalah Anda membutuhkan ruang yang cukup untuk menyimpan halaman statis ini. Jika ruang Anda tidak terlalu kaya dan Anda ingin disertakan oleh mesin pencari, Anda benar-benar dapat menggunakan semu digunakan