著名的SQL流量注入(SQL注入)攻击法

文章作者 100test 发表时间 2007:12:21 11:47:36
来源 100Test.Com百考试题网

我们在编程过程中，经常会把用户输入的数据拼成一个SQL语句，然后直接发送给服务器执行，比如：

string SqlStr = "0select * from customers where CompanyName Like %" textBox1.Text "%".

这样的字符串连接可能会带来灾难性的结果，比如用户在文本框中输入：

a or 1=1 --

那么SqlStr的内容就是：

0select * from customers where CompanyName like %a or 1=1 --%

这样，整个customers数据表的所有数据就会被全部检索出来，因为1=1永远true，而且最后的百分号和单引号被短横杠注释掉了。

如果用户在文本框中输入：

a EXEC sp_addlogin John ,123 EXEC sp_addsrvrolemember John,sysadmin --

那么SqlStr的内容就是：

0select * from customers where CompanyName like %a EXEC sp_addlogin John,123 EXEC sp_addsrvrolemember John,sysadmin --

这个语句是在后台数据库中增加一个用户John，密码123，而且是一个sysadmin账号，相当于sa的权限。

如果用户在文本框中输入：

a EXEC xp_cmdShell(format c:/y) --

运行之后好像是格式化C盘！

还有很多更危险的操作，不过都没试过。还是存储过程好用啊，存储过程的参数把用户的输入当成真正的字符串处理，既安全，又快速！