日期:2014-05-18  浏览次数:20770 次

什么是sql注入?
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.

感谢热心网友qq366299333提供!

------解决方案--------------------
感谢分享.
------解决方案--------------------
这么高级的理论?
------解决方案--------------------
人齐结贴
------解决方案--------------------
感觉很多时候是“'”(撇或者叫单引号)这个符号出的问题
------解决方案--------------------
学习,帮顶。
------解决方案--------------------
呵,一个自问自答的人,大脑。。。。。
------解决方案--------------------
说得是的
------解决方案--------------------
这个早知道,我是来接。分的

其实“sql注入”虽然名字带有sql,但我觉得不属于sql的范畴,是web程序上要注意的问题,正如5楼所说没过滤好表单提交的单引号而发生的
------解决方案--------------------
接分分
------解决方案--------------------

------解决方案--------------------
防止sql注入技术:
SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@sql表列名",列名属性值),
new SqlParameter("@sql表列名",SqlDbType..),..
};
com.Parameters.AddRange(paras);
paras[索引].ParameterName; //参数名称
paras[索引].Value; //参数值

------解决方案--------------------
偶刚接触sql啊……不懂啊……不懂啊……
------解决方案--------------------
sql注入漏洞攻击在早些年,登陆查询还是“拼sql语句”的年代还很盛行,现在的登陆查询
都是直接传递一个变量了,它已经不是那么盛行了