欧美人妻日韩精品,久久青青草原国产精品最新片,亚洲特级毛片av无码专区,一本一道色欲综合网中文字幕

       大家都知道數(shù)據(jù)庫是所有系統(tǒng)中最核心的地方，數(shù)據(jù)庫的安全才是整個系統(tǒng)的安全，那么在數(shù)據(jù)庫設(shè)置時該怎樣編寫才能避免疏漏呢？今天我們河南北大青鳥中心就來給大家例舉下SQL語句編寫不當可能導致的系統(tǒng)安全隱患！

       在一般的多用戶應(yīng)用系統(tǒng)中,只有擁有正確的用戶名和密碼的用戶才能進入該系統(tǒng).我們通常需要編寫用戶登錄窗口來控制用戶使用該系統(tǒng),這里以Visual Basic ADO為例：

　　一、漏洞的產(chǎn)生

　　用于登錄的表
  　Users(name,pwd)
　　建立一個窗體Frmlogin,其上有兩個文本框Text1,Text2和兩個命令按鈕cmdok,cmdexit.兩個文本框分別用于讓用戶輸入用戶名和密碼,兩個命令按鈕用于“登錄”和“退出”.

　　1、定義Ado Connection對象和ADO RecordSet對象：
　　Option Explicit
　　Dim Adocon As ADODB.Connection
　　Dim Adors As ADODB.Recordset

　　2、在Form_Load中進行數(shù)據(jù)庫連接：
　　Set Adocon = New ADODB.Connection
　　Adocon.CursorLocation = adUseClient
　　adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" amp;amp; _
　　App.Path amp;amp; " est.mdb;"
　　cmdok中的代碼
　　Dim sqlstr As String
　　sqlstr = "select * from usersswheresname='" amp;amp; Text1.Text amp;amp; _
　　"' and pwd='" amp;amp; Text2.Text amp;amp; "'"
　　Set adors = New ADODB.Recordset
　　Set Adors=Adocon.Execute(sqlstr)
　　If Adors.Recordcount>0 Then //或If Not Adors.EOF then
　　....
　　MsgBox "Pass" //通過驗證
　　Else
　　...
　　MsgBox "Fail" //未通過驗證
　　End if　 　
　　運行該程序,看起來這樣做沒有什么問題,但是當在Text1中輸入任意字符串(如123),在Text2中輸入a' or 'a'='a時,我們來看sqlstr此時的值：
　　select * from usersswheresname='123' and pwd='a' or 'a'='a'
　　執(zhí)行這樣一個SQL語句,or之后的'a'='a'為真值,只要users表中有記錄,則它的返回的eof值一定為False,這樣就輕易地繞過了系統(tǒng)對于用戶和密碼的驗證.
　　這樣的問題將會出現(xiàn)在所有使用select * from usersswheresname='" amp;amp; name amp;amp; "' and pwd='" amp;amp; password amp;amp;"'的各種系統(tǒng)中,無論你是使用那種編程語言.

　　二、漏洞的特點
　　在網(wǎng)絡(luò)上,以上問題尤其明顯,筆者在許多網(wǎng)站中都發(fā)現(xiàn)能使用這種方式進入需要進行用戶名和密碼驗證的系統(tǒng).這樣的一個SQL漏洞具有如下的特點：

　　1、與編程語言或技術(shù)無關(guān)
  　無論是使用VB、Delphi還是ASP、JSP.
　　2、隱蔽性
　　現(xiàn)有的系統(tǒng)中有相當一部分存在著這個漏洞,不易覺察.
　　3、危害性
　　不需要進行用戶名或密碼的猜測即可輕易進入系統(tǒng).

　　三、解決漏洞的方法
　　1、控制密碼中不能出現(xiàn)空格.
　　2、對密碼采用加密方式.
　　這里要提及一點,加密不能采用過于簡單的算法,過于簡單的算法會讓人能夠構(gòu)造出形如a' or 'a'='a的密文,從而進入系統(tǒng).
　　3、將用戶驗證和密碼驗證分開來做,先進行用戶驗證,如果用戶存在,再進行密碼驗證,這樣一來也能解決問題.

這些都是基本的安全知識，更多數(shù)據(jù)庫技術(shù)分享請鏈接：http:///sjk/