5)代码错误:程序员在编写代码时使用了不完善的数据库函数,或者是没有正确使用接口,因而导致Web应用产生漏洞。

2。3 Web 应用漏洞扫描技术分析及其检测方法

2。3。1 SQL 注入漏洞

(1)SQL注入漏洞原理:指的是很多程序员在编写Web应用程序代码时,没有对用户所输入的数据进行判断 ,而使应用程序存在了安全隐患。未经验证的情况下,系统将输入的信息数据当做是程序需要执行的语句,因而注入在系统中,Web应用也因此受到了一定的破坏和入侵。那么在经过验证后,用户可以提交一段数据库特殊代码,并且通过程序返回的结果,从中获得服务器及应用程序的相关信息,或者某些用户想得知的数据。

举例说明:文献综述

假设我们现在要通过id编号来搜索网页,寻找需要的文章,假如有以下网站链接: http://www。xxx。com/paper。php?id=1 但是在后台PHP语句就可能是这样的: $result = mysql_query("SELECT * FROM paper where id = ‘$_GET[‘id’]’"); 当传入数据库被执行的最终SQL语句是这样的: SELECT * FROM paper where id =‘1’; 

最简单的测试方式:     

 1。 http://www。xxx。com/paper。php?id=1’ 

2。 http://www。xxx。com/paper。php?id=1’and ‘1’=‘1

3。 http://www。xxx。com/paper。php?id=1’and ‘1’=‘2 

在id参数的后面分别添加以上的内容会发生什么? 

从上述语句被执行的结果中,可以发现通过我们精心构造的语句发送给后台,然后在后台执行所构造的SQL语句,从而达到了控制返回后台的结果,这样我们就可以进一步构造语句,来查询我们想要的结果,甚至是在数据库中插入木马都是可行的。

上一篇:移动安防系统Android客户端的设计与实现
下一篇:没有了

基于JavaWeb的考试自动评分系统的设计与实现

Javaweb网络培训班管理及课程管理设计+源代码

Linux系统下web服务器的搭建与设计

论利用ebXML和SOAP开发Web服务【2352字】

Web技术的网络考试系统【2240字】

ASP技术开发Web数据库检索程序【1514字】

ASP.NET的Web网络應用程序开...

发动机冷试技术国内外研究现状综述

中小企业會计制度设计的...

试论中国电影的后现代特...

张掖市生育保险方案政策...

城镇化进程中的农村社會...

谈数形结合在中学数学教育中的应用

高校公共标识导向系统研究【2437字】

法律英语文体研究

云南文山三七市场现状及其对策

上海市某酒店空调通风工程设计