这几天牛奶产品的三聚氰胺事件曝光后,三鹿,蒙牛等奶制品网站纷纷被黑客攻破和入侵,而他们采用攻击方式几乎都是采用的SQL注入式攻击。这个SQL注入式攻击到底是什么?它是依靠什么原理对这些网站进行了入侵呢?
其实SQL注入式攻击,就是黑客从正常的网页端口对网页进行访问,但是当遇到网页需要查询数据库时,通过输入一些含有数据库保留语句的一些特殊内容,比如一些构造巧妙的SQL语句。让SQL数据库无法正确执行其查询命令,从而导致被黑客利用的一种入侵方式。举个例子,当用户在访问某网站时,该网站的一个页面地址为“https://xxx.xxx.xxx/abc.asp?id=YY”这种形式时,就说明该网页是带有参数的ASP动态网页,其中YY就是进行SQL命令的参数,此时你可以将YY替换成其他参数进行输入,比如一些含执行命令的语句。当你修改了参数的链接被提交给SQL数据库时,数据库就可能优先执行该参数里的执行代码,从而导致被黑客利用,一般来说黑客都是通过这种方式获取网站后台SQL的管理员密码,从而登录到网站后台为所欲为。
一般来说基于ASP.NET开发的网站都存在SQL注入式攻击的可能,因为直接向数据库输入参数这种方式本来就很危险,不过只要网站开发者和管理员对SQL注入式攻击有所了解,即可很轻松的预防这种攻击。比如在需要进行数据库查询、添加和删除等功能的动态页面中,添加一些判断输入内容是否正常的小程序,比如要求提交内容不能包含在SQL语句中有特殊含义的符号和保留字。或者对执行查询的数据库账户,进行权限限制,防止黑客获得管理员权限。
SQL注入式攻击,对于一般的没防范小网站有效,对于一些做了防备的网站就无用了。
声明:欢迎各大网站转载本站文章,还请保留一条能直接指向本站的超级链接,谢谢!
时间:2008-10-21 08:51:52,点击:65824
【声明】:以上文章或资料除注明为Office自创或编辑整理外,均为各方收集或网友推荐所得。其中摘录的内容以共享、研究为目的,不存在任何商业考虑。如有任何异议,请与本站联系,本站确认后将立即撤下。谢谢您的支持与理解!
相关评论
我要评论
评论内容
相关文章
推荐文章