安全杂谈一之SQL注入

Web系统非常容易受到攻击,SQL注入做为一个常用的攻击方式,常见于一些老的系统。危害相当大。在这里讲一个SQL注入相关的例子。

那是多年以前的事,再次见到她,不禁怦然心动,几年不见,她已是亭亭玉立,作为一枚单身狗,当然会有一些想法。在得知她仍单身的情况后,心中狂喜,满以为能通过这次的邂逅,拉近双方的距离,或许能终结我的单身生活也说不定,哈哈。不过,接下来的事却令我失望,漂亮的女生总是高冷的,但这并没有让我退却。我想方设法得到她的更多信息,如此才好展开攻势。不过她好像觉察到了我的意图,或是之前也有人使用过相同的伎俩,她拒绝向我透漏更多的个人信息。不过,这难不倒我这个技术出身的,我相信在网络的时代,我终会找到一丝蛛丝马迹。我先百度到了她所读的大学,然后在就业中找到了毕业生去向查询入口,不过需要登录才能查询。我仔细看了下,地址的后缀是.asp,表示这是一个比较老的系统了,或许我可以通过SQL注入来绕过。于是,我先在用户名中输入带特殊符合的SQL,很不幸,用户名不允许输入字符,需要输入真实姓名(用户名为真实姓名)。然后我将注入的SQL写在记事中,仔细地在密码域中一个一个输入,完毕之后,再重重敲击了一下Enter,奇迹发生了,我成功的登录了!而且,查询到了她毕业后的进入的公司。

不过后面的事,我就不讲了,我仍然做我的单身青年,她仍然做她的高冷女神。

写在最后:其实,我们程序员,并不全是呆板木讷的。我们有想法,有智商,同时也有手段。认真最一件事的时候,爆发力可是相当高的。在此与提醒同为做技术的同学们,Web系统的安全性一定要做好,SQL不要拼接,使用预处理SQL,服务端的校验一定要做,必要时加密。