SQL注入相关数据库知识.docVIP

SQL注入相关数据库知识 :: 2004-06-03 23:12 一?概述和介绍1.网络应用和SQL注射1.1概述有些网络数据库没有过滤客户提供的数据中可能有害的字符，SQL注射就是利用插入有害字符进行攻击的技术。尽管非常容易防范，但因特网上仍然有惊人数量的存储系统容易受到这种攻击。这篇文章的目的是指导专业安全组织了解这种技术，并告诉他们正确的,用来防范SQL注射的办法,以及处理各种常见的,由于非法输入引起的问题.1.2背景在读这篇文章之前，你应该对数据库如何工作,以及SQL如何被用来访问数据库有一些基础的了解。我建议您阅读eX的文章“Introduction?to?Databases?for?WebDevelopers”。（网址:/tutorials/sql/toc.html）1.3字符编码在大多数的网络浏览器中，标点符号和许多其它符号在用于一个网络请求前需要把URL编码,以便被适当地编译（interpret）。在本文中的例子和截图中我使用了固定的ASCII字符以保证最大的可读性。然而，在实际应用中，你需要在HTTP请求中用%25来代替百分号(%)，用%2B来代替加号(+)等等。。。2.易损性的测试（Testing?for?vulnerability）2.1综合测试彻底地检测一个网络请求是否容易被SQL注射比一个可能的猜测（mi