無憂主機(jī)（www.gle-technology.com）六年來運(yùn)營實(shí)踐，見過太多的網(wǎng)站、服務(wù)器被通過sql的方式注入，被侵害。在這些做網(wǎng)維的日子里，看到好多新手站長，對這個(gè)sql注入認(rèn)識不夠，沒有意識到sql注入是多么的危險(xiǎn)和可怕。無憂主機(jī)今天將簡單說說sql注入的問題。 下面是一個(gè)sql注入的簡單分析，，只是讓大家sql注入有多危險(xiǎn)，引起大家的警覺，這個(gè)是本教程的目的。 看下面一個(gè)用戶登錄界面的中的一條語句，一般我們都會用：“SELECT * FROM usr WHERE USERNAME='$usr' AND PASSWORD='$pwd' ”來進(jìn)行驗(yàn)證。然后判斷，得到結(jié)果就可以成功登錄系統(tǒng)。 假設(shè)我們的用戶名填寫?51php' or 'aaa'='aaa?；密碼任意輸入，然后查詢語句如下： SELECT * FROM usr WHERE USERNAME='51php' or 'aaa'='aaa' AND PASSWORD='pwd'; 這樣就繞過登錄程序，直接登錄系統(tǒng)。通過注入方式，是不是很簡單的就進(jìn)入你的系統(tǒng)了類？上面的語句，只是單純的登錄了你的系統(tǒng)，如果在改一下：“51php' ; DELETE FROM usr; #。這樣子，查詢的語句就變成兩種結(jié)果，一是查詢，二是將數(shù)據(jù)表給刪除，破壞數(shù)據(jù)庫的結(jié)構(gòu)，這就如“案板上的肉”任人宰割，什么時(shí)候都有可能發(fā)生。如果有備份，那么直接備份把，如果沒有備份，下場是凄涼的。這也是無憂主機(jī)（www.gle-technology.com），在文檔非常強(qiáng)調(diào)網(wǎng)站數(shù)據(jù)要勤備份的原因。如果你還會在偷懶，推薦你讀讀360度全方位講解無憂網(wǎng)站數(shù)據(jù)庫備份。 SELECT * FROM usr WHERE USERNAME='51php';DELETE?FROM usr;#' AND PASSWORD='pwd';這樣子，這條查詢語句在執(zhí)行的時(shí)候就變成了兩個(gè)。所以說，任何的表單都要驗(yàn)證數(shù)據(jù)的有效性,要不然被人利用了漏洞,導(dǎo)致系統(tǒng)安全就得不償失了。 無憂主機(jī) 提供美國/香港 純Linux環(huán)境下高端免備案php空間，僅僅只需99元一年起。

本文地址：http://www.gle-technology.com/mysql/1661.html