無(wú)憂主機(jī)（m.love62.cn）六年來(lái)運(yùn)營(yíng)實(shí)踐，見(jiàn)過(guò)太多的網(wǎng)站、服務(wù)器被通過(guò)sql的方式注入，被侵害。在這些做網(wǎng)維的日子里，看到好多新手站長(zhǎng)，對(duì)這個(gè)sql注入認(rèn)識(shí)不夠，沒(méi)有意識(shí)到sql注入是多么的危險(xiǎn)和可怕。無(wú)憂主機(jī)今天將簡(jiǎn)單說(shuō)說(shuō)sql注入的問(wèn)題。 下面是一個(gè)sql注入的簡(jiǎn)單分析，，只是讓大家sql注入有多危險(xiǎn)，引起大家的警覺(jué)，這個(gè)是本教程的目的。 看下面一個(gè)用戶登錄界面的中的一條語(yǔ)句，一般我們都會(huì)用：“SELECT * FROM usr WHERE USERNAME='$usr' AND PASSWORD='$pwd' ”來(lái)進(jìn)行驗(yàn)證。然后判斷，得到結(jié)果就可以成功登錄系統(tǒng)。 假設(shè)我們的用戶名填寫?51php' or 'aaa'='aaa?；密碼任意輸入，然后查詢語(yǔ)句如下： SELECT * FROM usr WHERE USERNAME='51php' or 'aaa'='aaa' AND PASSWORD='pwd'; 這樣就繞過(guò)登錄程序，直接登錄系統(tǒng)。通過(guò)注入方式，是不是很簡(jiǎn)單的就進(jìn)入你的系統(tǒng)了類？上面的語(yǔ)句，只是單純的登錄了你的系統(tǒng)，如果在改一下：“51php' ; DELETE FROM usr; #。這樣子，查詢的語(yǔ)句就變成兩種結(jié)果，一是查詢，二是將數(shù)據(jù)表給刪除，破壞數(shù)據(jù)庫(kù)的結(jié)構(gòu)，這就如“案板上的肉”任人宰割，什么時(shí)候都有可能發(fā)生。如果有備份，那么直接備份把，如果沒(méi)有備份，下場(chǎng)是凄涼的。這也是無(wú)憂主機(jī)（m.love62.cn），在文檔非常強(qiáng)調(diào)網(wǎng)站數(shù)據(jù)要勤備份的原因。如果你還會(huì)在偷懶，推薦你讀讀360度全方位講解無(wú)憂網(wǎng)站數(shù)據(jù)庫(kù)備份。 SELECT * FROM usr WHERE USERNAME='51php';DELETE?FROM usr;#' AND PASSWORD='pwd';這樣子，這條查詢語(yǔ)句在執(zhí)行的時(shí)候就變成了兩個(gè)。所以說(shuō)，任何的表單都要驗(yàn)證數(shù)據(jù)的有效性,要不然被人利用了漏洞,導(dǎo)致系統(tǒng)安全就得不償失了。 無(wú)憂主機(jī) 提供美國(guó)/香港 純Linux環(huán)境下高端免備案php空間，僅僅只需99元一年起。

本文地址：http://m.love62.cn/mysql/1661.html