1、SQL注入攻击的总体思路:寻找到SQL注入的位置,判断服务器类型和后台数据库类型,针对不通的服务器和数据库特点进行SQL注入攻击。
3、下面我们分析一下:从理论上说,后台认证程序中会有如下的SQL语句:String sql = "select 忮氽阝另* from user_table where username=' "+userName+" ' and password=' "+password+" '";
6、这还是比较温柔的,如果是执行SELECT * FROM user_table WHEREusername='' ;DROP DATABAS呶蓟鹭毵E (DB Name) --' and password=''….其后果可想而知…
7、应对方法下面我针对JSP,说一下应对方法:(简单又有效的方法)PreparedStatement采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
