|
查看: 797|回复: 4
|
请问如何确保网站资料库的安全?
[复制链接]
|
|
|
前阵子听友人说他设立的网站给人家hack进去资料库修改里面的资料,结果出现一大堆XXXX的东西啦。
为什么会被人hack进去呢?我觉得可能性有二。
第一是他是用的user id & password都是人家常用的。
如:USER ID : admin
PASSWORD: password
这样不死也怪。
第二是web hosting的人动手教,哈,他们只要有密码,在电脑前按一按,就可以光明正大的盗取你的资料库了。
除了以上两个方法,还有其他方法可以让人闯入资料库吗?
比如编写网页时留下的“后路”??
有什么该注意呢?
请各位高手分享一下。
谢谢!
[ 本帖最后由 dreamer716 于 2-5-2007 07:28 PM 编辑 ] |
|
|
|
|
|
|
|
|
|
|
|
发表于 2-5-2007 08:07 PM
|
显示全部楼层
如果是SQL DATABASE的话, 最常见被HACK的问题就是SQL INJECTION 了
如果你不是用STORED PROCEDURE, 而是直接用COMMAND TEXT来执行你的数据库指令的话,
如下将会很危险:
string s = "SELECT * FROM UsersAccount WHERE UserName = '" + sUserName + "'";
如果 s 是 'SomeUserName' 的话问题还小,可是如果有新人放了
s = "nobody' GO DELETE FROM UsersAcocunt"
结果就会是
SELECT * FROM UsersAccount WHERE UserName = 'nobody'
GO
DELETE FROM UsersAccount |
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 3-5-2007 12:42 AM
|
显示全部楼层
回复 #2 阿牙木 的帖子
wow...看来阿牙木是位高手。
我想没有几个人可以看明白的。哈,很多中小程式都少用Advanced SQL的。
除了这个方法,hacker是否有方法在appliction 或 session那边下手呢? |
|
|
|
|
|
|
|
|
|
|
|
发表于 3-5-2007 01:08 AM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 3-5-2007 09:06 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
| |
 本周最热论坛帖子
|
变色卡
千斤顶
1419 
31
