欧美人妻日韩精品,久久青青草原国产精品最新片,亚洲特级毛片av无码专区,一本一道色欲综合网中文字幕

鄭州信息科技中專(zhuān)職業(yè)學(xué)院中專(zhuān)部

不僅僅統(tǒng)招學(xué)歷喲

  • 熱門(mén)專(zhuān)業(yè)!
  • 大學(xué)校園!
  • 就業(yè)保障!
  • 拿學(xué)歷又能高薪就業(yè),誰(shuí)能不愛(ài)!
了解詳情>
鄭州北大青鳥(niǎo)翔天信鴿參加“安心學(xué)習(xí)·放心就業(yè)”公約簽約儀式

讓每一個(gè)家庭“安心”、“放心”

  • 教學(xué)為本
  • 師愛(ài)為魂
  • 安心學(xué)習(xí)
  • 放心就業(yè)
了解詳情>
北大青鳥(niǎo)20周年慶典與總部年會(huì)鄭州翔天信鴿榮獲7項(xiàng)榮譽(yù)

深耕細(xì)作IT職業(yè)教育15載

  • 青鳥(niǎo)之星教學(xué)質(zhì)量大獎(jiǎng)
  • 卓越風(fēng)云人物
  • 北大青鳥(niǎo)中心理事會(huì)成員
  • 七項(xiàng)榮耀載譽(yù)而行!
了解詳情>
鄭州北大青鳥(niǎo)學(xué)員喜獲全國(guó)IT精英挑戰(zhàn)賽冠軍

我們教學(xué)怎么樣

  • 實(shí)力見(jiàn)證
  • 網(wǎng)絡(luò)組一等獎(jiǎng)
  • 網(wǎng)絡(luò)組二等獎(jiǎng)
  • 軟件組四等獎(jiǎng)
  • 200家校區(qū)脫穎而出!
了解更多>
北大青鳥(niǎo)榮獲315重承諾守信用放心品牌

北大青鳥(niǎo)職業(yè)IT20周年

  • 重承諾
  • 守信用
  • 放心品牌
  • 放心學(xué)習(xí)
  • 靠靠譜譜好就業(yè)!
了解更多>
學(xué)IT好工作高薪就業(yè)

我命由我不由天

  • 學(xué)個(gè)性的技術(shù)
  • 做愛(ài)做的事
  • 掙滿(mǎn)意的錢(qián)
  • 衣食無(wú)憂(yōu)
  • 選擇寬且高大尚!
了解更多>
鄭州北大青鳥(niǎo)IT培訓(xùn)辦學(xué)14年

我們靠不靠譜

  • 14年辦學(xué)
  • 14年磨練
  • 14年成長(zhǎng)
  • 14年探索
  • 只為讓每個(gè)學(xué)員成材!
了解更多>
鄭州北大青鳥(niǎo)IT培訓(xùn)

不打工也牛掰

  • 好工作
  • 好環(huán)境
  • 高薪資
  • 好課程
  • 支持你成為有“錢(qián)”人!
了解更多>

學(xué)IT就讀北大青鳥(niǎo)

  • 好工作
  • 好未來(lái)
  • 好老師
  • 好課程
  • 支持你成為受人尊敬的人!
了解更多>
    當(dāng)前位置: 首頁(yè) > 河南鄭州北大青鳥(niǎo)學(xué)校 > 技術(shù)交流 > 數(shù)據(jù)庫(kù)
例舉SQL語(yǔ)句編寫(xiě)不當(dāng)導(dǎo)致系統(tǒng)安全隱患
作者: 添加時(shí)間:10-13 瀏覽次數(shù):0

       大家都知道數(shù)據(jù)庫(kù)是所有系統(tǒng)中最核心的地方,數(shù)據(jù)庫(kù)的安全才是整個(gè)系統(tǒng)的安全,那么在數(shù)據(jù)庫(kù)設(shè)置時(shí)該怎樣編寫(xiě)才能避免疏漏呢?今天我們河南北大青鳥(niǎo)中心就來(lái)給大家例舉下SQL語(yǔ)句編寫(xiě)不當(dāng)可能導(dǎo)致的系統(tǒng)安全隱患!

       在一般的多用戶(hù)應(yīng)用系統(tǒng)中,只有擁有正確的用戶(hù)名和密碼的用戶(hù)才能進(jìn)入該系統(tǒng).我們通常需要編寫(xiě)用戶(hù)登錄窗口來(lái)控制用戶(hù)使用該系統(tǒng),這里以Visual Basic ADO為例:

  一、漏洞的產(chǎn)生

  用于登錄的表
   Users(name,pwd)
  建立一個(gè)窗體Frmlogin,其上有兩個(gè)文本框Text1,Text2和兩個(gè)命令按鈕cmdok,cmdexit.兩個(gè)文本框分別用于讓用戶(hù)輸入用戶(hù)名和密碼,兩個(gè)命令按鈕用于“登錄”和“退出”.

  1、定義Ado Connection對(duì)象和ADO RecordSet對(duì)象:
  Option Explicit
  Dim Adocon As ADODB.Connection
  Dim Adors As ADODB.Recordset

  2、在Form_Load中進(jìn)行數(shù)據(jù)庫(kù)連接:
  Set Adocon = New ADODB.Connection
  Adocon.CursorLocation = adUseClient
  adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" amp;amp; _
  App.Path amp;amp; " est.mdb;"
  cmdok中的代碼
  Dim sqlstr As String
  sqlstr = "select * from usersswheresname='" amp;amp; Text1.Text amp;amp; _
  "' and pwd='" amp;amp; Text2.Text amp;amp; "'"
  Set adors = New ADODB.Recordset
  Set Adors=Adocon.Execute(sqlstr)
  If Adors.Recordcount>0 Then //或If Not Adors.EOF then
  ....
  MsgBox "Pass" //通過(guò)驗(yàn)證
  Else
  ...
  MsgBox "Fail" //未通過(guò)驗(yàn)證
  End if   
  運(yùn)行該程序,看起來(lái)這樣做沒(méi)有什么問(wèn)題,但是當(dāng)在Text1中輸入任意字符串(如123),在Text2中輸入a' or 'a'='a時(shí),我們來(lái)看sqlstr此時(shí)的值:
  select * from usersswheresname='123' and pwd='a' or 'a'='a'
  執(zhí)行這樣一個(gè)SQL語(yǔ)句,or之后的'a'='a'為真值,只要users表中有記錄,則它的返回的eof值一定為False,這樣就輕易地繞過(guò)了系統(tǒng)對(duì)于用戶(hù)和密碼的驗(yàn)證.
  這樣的問(wèn)題將會(huì)出現(xiàn)在所有使用select * from usersswheresname='" amp;amp; name amp;amp; "' and pwd='" amp;amp; password amp;amp;"'的各種系統(tǒng)中,無(wú)論你是使用那種編程語(yǔ)言.

  二、漏洞的特點(diǎn)
  在網(wǎng)絡(luò)上,以上問(wèn)題尤其明顯,筆者在許多網(wǎng)站中都發(fā)現(xiàn)能使用這種方式進(jìn)入需要進(jìn)行用戶(hù)名和密碼驗(yàn)證的系統(tǒng).這樣的一個(gè)SQL漏洞具有如下的特點(diǎn):

  1、與編程語(yǔ)言或技術(shù)無(wú)關(guān)
   無(wú)論是使用VB、Delphi還是ASP、JSP.
  2、隱蔽性
  現(xiàn)有的系統(tǒng)中有相當(dāng)一部分存在著這個(gè)漏洞,不易覺(jué)察.
  3、危害性
  不需要進(jìn)行用戶(hù)名或密碼的猜測(cè)即可輕易進(jìn)入系統(tǒng).

  三、解決漏洞的方法
  1、控制密碼中不能出現(xiàn)空格.
  2、對(duì)密碼采用加密方式.
  這里要提及一點(diǎn),加密不能采用過(guò)于簡(jiǎn)單的算法,過(guò)于簡(jiǎn)單的算法會(huì)讓人能夠構(gòu)造出形如a' or 'a'='a的密文,從而進(jìn)入系統(tǒng).
  3、將用戶(hù)驗(yàn)證和密碼驗(yàn)證分開(kāi)來(lái)做,先進(jìn)行用戶(hù)驗(yàn)證,如果用戶(hù)存在,再進(jìn)行密碼驗(yàn)證,這樣一來(lái)也能解決問(wèn)題.

這些都是基本的安全知識(shí),更多數(shù)據(jù)庫(kù)技術(shù)分享請(qǐng)鏈接:http:///sjk/


本文由站河南北大青鳥(niǎo)校區(qū)整編而成,如需了解更多IT資訊類(lèi)的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問(wèn)題,可以對(duì)在線(xiàn)咨詢(xún)老師進(jìn)行一對(duì)一問(wèn)答!

分享到: