摘要:
今天来谈谈cookies欺骗是怎么回事以及如何避免。用户在登录之后通常会保存用户信息,以便在其他需要权限的页面去验证用户信息是否具有访问权限。有同学说我在登录的时候已经很注意SQL注入问题了,还有什么不安全的地方么?当然有!这个要首先谈一个问题,那就是用户身份验证的流程 如下图:因此我们可以看出,一个页面是否能够被访问,判断依据是通过存储信息区域中用户的信息来判断的而登录页面的作用就是 验证 用户输入的用户名+密码的组合是否在数据库中存在,如果存在则把信息保存在存储信息的区域,以便各个页面去判断权限OK,理清这个思路之后我们的重点就来了,那个信息存储区域对于我们来说至关重要,一般常见的有两种形 阅读全文
摘要:
什么是SQL注入攻击?它是在执行SQL查询的时候,由于接收了用户的非法参数从而导致,所执行的SQL语义与业务逻辑原本所要查询的语义不相符,从而实现的攻击。例如我们经常使用的用户登录,通常会出现这样的表单:用户名:________________密码:________________ 登录正常情况下,我们需要让用户填写他们自己的用户名和密码之后,程序会接收用户输入的参数 执行查询操作,然后根据查询结果,判断用户是否能够登录。但是,如果程序员在编写SQL查询操作时候,没有注意SQL注入问题的话,那么用户可以通过这个表单很轻易的实现一些非正常的访问,下面我们据具体的例子来说明。我们先来布局一个简单的 阅读全文