2010年6月25日
摘要: <% '--------定义部份------------------ DimFy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr '自定义需要过滤的字串,用"防"分隔 Fy_In="'防;防and防exec防insert防select防delete防update防count防*防%防chr防mid防master防truncate防char防decl... 阅读全文
posted @ 2010-06-25 12:34 洞幺人生 阅读(286) 评论(0) 推荐(0) 编辑
摘要: 用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。... 阅读全文
posted @ 2010-06-25 12:28 洞幺人生 阅读(1116) 评论(0) 推荐(0) 编辑