無憂主機（www.gle-technology.com）六年來運營實踐，見過太多的網(wǎng)站、服務器被通過sql的方式注入，被侵害。在這些做網(wǎng)維的日子里，看到好多新手站長，對這個sql注入認識不夠，沒有意識到sql注入是多么的危險和可怕。無憂主機今天將簡單說說sql注入的問題。 下面是一個sql注入的簡單分析，，只是讓大家sql注入有多危險，引起大家的警覺，這個是本教程的目的。 看下面一個用戶登錄界面的中的一條語句，一般我們都會用：“SELECT * FROM usr WHERE USERNAME='$usr' AND PASSWORD='$pwd' ”來進行驗證。然后判斷，得到結果就可以成功登錄系統(tǒng)。 假設我們的用戶名填寫?51php' or 'aaa'='aaa?；密碼任意輸入，然后查詢語句如下： SELECT * FROM usr WHERE USERNAME='51php' or 'aaa'='aaa' AND PASSWORD='pwd'; 這樣就繞過登錄程序，直接登錄系統(tǒng)。通過注入方式，是不是很簡單的就進入你的系統(tǒng)了類？上面的語句，只是單純的登錄了你的系統(tǒng)，如果在改一下：“51php' ; DELETE FROM usr; #。這樣子，查詢的語句就變成兩種結果，一是查詢，二是將數(shù)據(jù)表給刪除，破壞數(shù)據(jù)庫的結構，這就如“案板上的肉”任人宰割，什么時候都有可能發(fā)生。如果有備份，那么直接備份把，如果沒有備份，下場是凄涼的。這也是無憂主機（www.gle-technology.com），在文檔非常強調(diào)網(wǎng)站數(shù)據(jù)要勤備份的原因。如果你還會在偷懶，推薦你讀讀360度全方位講解無憂網(wǎng)站數(shù)據(jù)庫備份。 SELECT * FROM usr WHERE USERNAME='51php';DELETE?FROM usr;#' AND PASSWORD='pwd';這樣子，這條查詢語句在執(zhí)行的時候就變成了兩個。所以說，任何的表單都要驗證數(shù)據(jù)的有效性,要不然被人利用了漏洞,導致系統(tǒng)安全就得不償失了。 無憂主機 提供美國/香港 純Linux環(huán)境下高端免備案php空間，僅僅只需99元一年起。

本文地址：http://www.gle-technology.com/mysql/1661.html