ãä¸ã SQL注å
¥æ»å»çç®å示ä¾ã
ããstatement := "SELECT * FROM Users WHERE Value= " + a_variable + "
ããä¸é¢è¿æ¡è¯å¥æ¯å¾æ®éçä¸æ¡SQLè¯å¥ï¼ä»ä¸»è¦å®ç°çåè½å°±æ¯è®©ç¨æ·è¾å
¥ä¸ä¸ªåå·¥ç¼å·ç¶åæ¥è¯¢å¤è¿ä¸ªåå·¥çä¿¡æ¯ãä½æ¯è¥è¿æ¡è¯å¥è¢«ä¸æ³æ»å»è
æ¹è£
è¿åï¼å°±å¯è½æä¸ºç ´åæ°æ®çé»æãå¦æ»å»è
å¨è¾å
¥åéçæ¶åï¼è¾å
¥ä»¥ä¸å
容SA001â;drop table c_order--ãé£ä¹ä»¥ä¸è¿æ¡SQLè¯å¥å¨æ§è¡çæ¶åå°±å为äºSELECT * FROM Users WHERE Value= âSA001â;drop table c_order--ã
ããè¿æ¡è¯å¥æ¯ä»ä¹ææå¢?âSA001âåé¢çåå·è¡¨ç¤ºä¸ä¸ªæ¥è¯¢çç»æåå¦ä¸æ¡è¯å¥çå¼å§ãc_orderåé¢çåè¿å符 æ示å½åè¡ä½ä¸çé¨ååªæ¯ä¸ä¸ªæ³¨éï¼åºè¯¥å¿½ç¥ãå¦æä¿®æ¹åç代ç è¯æ³æ£ç¡®ï¼åæå¡å¨å°æ§è¡è¯¥ä»£ç ãç³»ç»å¨å¤çè¿æ¡è¯å¥æ¶ï¼å°é¦å
æ§è¡æ¥è¯¢è¯å¥ï¼æ¥å°ç¨æ·ç¼å·ä¸ºSA001 çç¨æ·ä¿¡æ¯ãç¶åï¼æ°æ®å°å é¤è¡¨C_ORDER(å¦æ没æå
¶ä»ä¸»é®çç¸å
³çº¦æï¼åå é¤æä½å°±ä¼æå)ãåªè¦æ³¨å
¥çSQL代ç è¯æ³æ£ç¡®ï¼ä¾¿æ æ³éç¨ç¼ç¨æ¹å¼æ¥æ£æµç¯¡æ¹ãå æ¤ï¼å¿
é¡»éªè¯ææç¨æ·è¾å
¥ï¼å¹¶ä»ç»æ£æ¥å¨æ¨æç¨çæå¡å¨ä¸æ§è¡æé SQLå½ä»¤ç代ç ã
ããäºã SQL注å
¥æ»å»åçã
ããå¯è§SQL注å
¥æ»å»çå±å®³æ§å¾å¤§ãå¨è®²è§£å
¶é²æ¢åæ³ä¹åï¼æ°æ®åºç®¡çåæå¿
è¦å
äºè§£ä¸ä¸å
¶æ»å»çåçãè¿æå©äºç®¡çåéåæé对æ§çé²æ²»æªæ½ã
ããSQL注å
¥æ¯ç®åæ¯è¾å¸¸è§çé对æ°æ®åºçä¸ç§æ»å»æ¹å¼ãå¨è¿ç§æ»å»æ¹å¼ä¸ï¼æ»å»è
ä¼å°ä¸äºæ¶æ代ç æå
¥å°å符串ä¸ãç¶åä¼éè¿åç§æ段å°è¯¥åç¬¦ä¸²ä¼ éå°SQLServeræ°æ®åºçå®ä¾ä¸è¿è¡åæåæ§è¡ãåªè¦è¿ä¸ªæ¶æ代ç 符åSQLè¯å¥çè§åï¼åå¨ä»£ç ç¼è¯ä¸æ§è¡çæ¶åï¼å°±ä¸ä¼è¢«ç³»ç»æåç°ã
ããSQL注å
¥å¼æ»å»ç主è¦å½¢å¼æ两ç§ãä¸æ¯ç´æ¥å°ä»£ç æå
¥å°ä¸SQLå½ä»¤ä¸²èå¨ä¸èµ·å¹¶ä½¿å¾å
¶ä»¥æ§è¡çç¨æ·è¾å
¥åéãä¸é¢ç¬è
举çä¾åå°±æ¯éç¨äºè¿ç§æ¹æ³ãç±äºå
¶ç´æ¥ä¸SQLè¯å¥æç»ï¼æ
ä¹è¢«ç§°ä¸ºç´æ¥æ³¨å
¥å¼æ»å»æ³ãäºæ¯ä¸ç§é´æ¥çæ»å»æ¹æ³ï¼å®å°æ¶æ代ç 注å
¥è¦å¨è¡¨ä¸åå¨æè
ä½ä¸ºå书æ®åå¨çå符串ãå¨åå¨çå符串ä¸ä¼è¿æ¥å°ä¸ä¸ªå¨æçSQLå½ä»¤ä¸ï¼ä»¥æ§è¡ä¸äºæ¶æçSQL代ç ã
ãã注å
¥è¿ç¨çå·¥ä½æ¹å¼æ¯æåç»æ¢ææ¬å符串ï¼ç¶å追å ä¸ä¸ªæ°çå½ä»¤ãå¦ä»¥ç´æ¥æ³¨å
¥å¼æ»å»ä¸ºä¾ãå°±æ¯å¨ç¨æ·è¾å
¥åéçæ¶åï¼å
ç¨ä¸ä¸ªåå·ç»æå½åçè¯å¥ãç¶ååæå
¥ä¸ä¸ªæ¶æSQLè¯å¥å³å¯ãç±äºæå
¥çå½ä»¤å¯è½å¨æ§è¡å追å å
¶ä»å符串ï¼å æ¤æ»å»è
常常ç¨æ³¨éæ è®°âââæ¥ç»æ¢æ³¨å
¥çå符串ãæ§è¡æ¶ï¼ç³»ç»ä¼è®¤ä¸ºæ¤åè¯å¥ä½æ³¨éï¼æ
åç»çææ¬å°è¢«å¿½ç¥ï¼ä¸èç¼è¯ä¸æ§è¡ã
ããä¸ã SQL注å
¥å¼æ»å»çé²æ²»ã
ããæ¢ç¶SQL注å
¥å¼æ»å»çå±å®³è¿ä¹å¤§ï¼é£ä¹è¯¥å¦ä½æ¥é²æ²»å¢?ä¸é¢è¿äºå»ºè®®æ许对æ°æ®åºç®¡çåé²æ²»SQL注å
¥å¼æ»å»æä¸å®ç帮å©ã
ãã1ã æ®éç¨æ·ä¸ç³»ç»ç®¡çåç¨æ·çæéè¦æä¸¥æ ¼çåºåã
ããå¦æä¸ä¸ªæ®éç¨æ·å¨ä½¿ç¨æ¥è¯¢è¯å¥ä¸åµå
¥å¦ä¸ä¸ªDrop Tableè¯å¥ï¼é£ä¹æ¯å¦å
许æ§è¡å¢?ç±äºDropè¯å¥å
³ç³»å°æ°æ®åºçåºæ¬å¯¹è±¡ï¼æ
è¦æä½è¿ä¸ªè¯å¥ç¨æ·å¿
é¡»æç¸å
³çæéãå¨æé设计ä¸ï¼å¯¹äºç»ç«¯ç¨æ·ï¼å³åºç¨è½¯ä»¶ç使ç¨è
ï¼æ²¡æå¿
è¦ç»ä»ä»¬æ°æ®åºå¯¹è±¡ç建ç«ãå é¤çæéãé£ä¹å³ä½¿å¨ä»ä»¬ä½¿ç¨SQLè¯å¥ä¸å¸¦æåµå
¥å¼çæ¶æ代ç ï¼ç±äºå
¶ç¨æ·æéçéå¶ï¼è¿äºä»£ç ä¹å°æ æ³è¢«æ§è¡ãæ
åºç¨ç¨åºå¨è®¾è®¡çæ¶åï¼æ好æç³»ç»ç®¡çåçç¨æ·ä¸æ®éç¨æ·åºåå¼æ¥ãå¦æ¤å¯ä»¥æ大é度çåå°æ³¨å
¥å¼æ»å»å¯¹æ°æ®åºå¸¦æ¥çå±å®³ã
ãã2ã 强迫使ç¨åæ°åè¯å¥ã
ããå¦æå¨ç¼åSQLè¯å¥çæ¶åï¼ç¨æ·è¾å
¥çåéä¸æ¯ç´æ¥åµå
¥å°SQLè¯å¥ãèæ¯éè¿åæ°æ¥ä¼ éè¿ä¸ªåéçè¯ï¼é£ä¹å°±å¯ä»¥ææçé²æ²»SQL注å
¥å¼æ»å»ãä¹å°±æ¯è¯´ï¼ç¨æ·çè¾å
¥ç»å¯¹ä¸è½å¤ç´æ¥è¢«åµå
¥å°SQLè¯å¥ä¸ãä¸æ¤ç¸åï¼ç¨æ·çè¾å
¥çå
容å¿
é¡»è¿è¡è¿æ»¤ï¼æè
使ç¨åæ°åçè¯å¥æ¥ä¼ éç¨æ·è¾å
¥çåéãåæ°åçè¯å¥ä½¿ç¨åæ°èä¸æ¯å°ç¨æ·è¾å
¥åéåµå
¥å°SQLè¯å¥ä¸ãéç¨è¿ç§æªæ½ï¼å¯ä»¥æç»å¤§é¨åçSQL注å
¥å¼æ»å»ãä¸è¿å¯æçæ¯ï¼ç°å¨æ¯æåæ°åè¯å¥çæ°æ®åºå¼æ并ä¸å¤ãä¸è¿æ°æ®åºå·¥ç¨å¸å¨å¼å产åçæ¶åè¦å°½ééç¨åæ°åè¯å¥ã
3ã å 强对ç¨æ·è¾å
¥çéªè¯ã
ããæ»ä½æ¥è¯´ï¼é²æ²»SQL注å
¥å¼æ»å»å¯ä»¥éç¨ä¸¤ç§æ¹æ³ï¼ä¸æ¯å 强对ç¨æ·è¾å
¥å
容çæ£æ¥ä¸éªè¯;äºæ¯å¼ºè¿«ä½¿ç¨åæ°åè¯å¥æ¥ä¼ éç¨æ·è¾å
¥çå
容ãå¨SQLServeræ°æ®åºä¸ï¼ææ¯è¾å¤çç¨æ·è¾å
¥å
容éªè¯å·¥å
·ï¼å¯ä»¥å¸®å©ç®¡çåæ¥å¯¹ä»SQL注å
¥å¼æ»å»ãæµè¯å符串åéçå
容ï¼åªæ¥åæéçå¼ãæç»å
å«äºè¿å¶æ°æ®ã转ä¹åºåå注éå符çè¾å
¥å
容ãè¿æå©äºé²æ¢èæ¬æ³¨å
¥ï¼é²æ¢æäºç¼å²åºæº¢åºæ»å»ãæµè¯ç¨æ·è¾å
¥å
容ç大å°åæ°æ®ç±»åï¼å¼ºå¶æ§è¡éå½çéå¶ä¸è½¬æ¢ãè¿å³æå©äºé²æ¢ææé æçç¼å²åºæº¢åºï¼å¯¹äºé²æ²»æ³¨å
¥å¼æ»å»ææ¯è¾ææ¾çææã
ããå¦å¯ä»¥ä½¿ç¨åå¨è¿ç¨æ¥éªè¯ç¨æ·çè¾å
¥ãå©ç¨åå¨è¿ç¨å¯ä»¥å®ç°å¯¹ç¨æ·è¾å
¥åéçè¿æ»¤ï¼å¦æç»ä¸äºç¹æ®ç符å·ãå¦ä»¥ä¸é£ä¸ªæ¶æ代ç ä¸ï¼åªè¦åå¨è¿ç¨æé£ä¸ªåå·è¿æ»¤æï¼é£ä¹è¿ä¸ªæ¶æ代ç ä¹å°±æ²¡æç¨æ¦ä¹å°äºãå¨æ§è¡SQLè¯å¥ä¹åï¼å¯ä»¥éè¿æ°æ®åºçåå¨è¿ç¨ï¼æ¥æç»æ¥çº³ä¸äºç¹æ®ç符å·ãå¨ä¸å½±åæ°æ®åºåºç¨çåæä¸ï¼åºè¯¥è®©æ°æ®åºæç»å
å«ä»¥ä¸å符çè¾å
¥ãå¦åå·åé符ï¼å®æ¯SQL注å
¥å¼æ»å»ç主è¦å¸®å¶ãå¦æ³¨éåé符ã注éåªæå¨æ°æ®è®¾è®¡çæ¶åç¨çå°ãä¸è¬ç¨æ·çæ¥è¯¢è¯å¥ä¸æ²¡æå¿
è¦æ³¨éçå
容ï¼æ
å¯ä»¥ç´æ¥æä»æç»æï¼é常æ
åµä¸è¿ä¹åä¸ä¼åçæå¤æ失ãæ以ä¸è¿äºç¹æ®ç¬¦å·æç»æï¼é£ä¹å³ä½¿å¨SQLè¯å¥ä¸åµå
¥äºæ¶æ代ç ï¼ä»ä»¬ä¹å°æ¯«æ ä½ä¸ºã
ããæ
å§ç»éè¿æµè¯ç±»åãé¿åº¦ãæ ¼å¼åèå´æ¥éªè¯ç¨æ·è¾å
¥ï¼è¿æ»¤ç¨æ·è¾å
¥çå
容ãè¿æ¯é²æ¢SQL注å
¥å¼æ»å»ç常è§å¹¶ä¸è¡ä¹ææçæªæ½ã
ãã4ã å¤å¤ä½¿ç¨SQL Serveræ°æ®åºèªå¸¦çå®å
¨åæ°ã
ãã为äºåå°æ³¨å
¥å¼æ»å»å¯¹äºSQL Serveræ°æ®åºçä¸è¯å½±åï¼å¨SQLServeræ°æ®åºä¸é¨è®¾è®¡äºç¸å¯¹å®å
¨çSQLåæ°ãå¨æ°æ®åºè®¾è®¡è¿ç¨ä¸ï¼å·¥ç¨å¸è¦å°½ééç¨è¿äºåæ°æ¥æç»æ¶æçSQL注å
¥å¼æ»å»ã
ããå¦å¨SQL Serveræ°æ®åºä¸æä¾äºParameterséåãè¿ä¸ªéåæä¾äºç±»åæ£æ¥åé¿åº¦éªè¯çåè½ãå¦æ管çåéç¨äºParametersè¿ä¸ªéåçè¯ï¼åç¨æ·è¾å
¥çå
容å°è¢«è§ä¸ºå符å¼èä¸æ¯å¯æ§è¡ä»£ç ãå³ä½¿ç¨æ·è¾å
¥çå
容ä¸å«æå¯æ§è¡ä»£ç ï¼åæ°æ®åºä¹ä¼è¿æ»¤æãå 为æ¤æ¶æ°æ®åºåªæå®å½ä½æ®éçå符æ¥å¤çã使ç¨Parameterséåçå¦å¤ä¸ä¸ªä¼ç¹æ¯å¯ä»¥å¼ºå¶æ§è¡ç±»ååé¿åº¦æ£æ¥ï¼èå´ä»¥å¤çå¼å°è§¦åå¼å¸¸ãå¦æç¨æ·è¾å
¥çå¼ä¸ç¬¦åæå®çç±»åä¸é¿åº¦çº¦æï¼å°±ä¼åçå¼å¸¸ï¼å¹¶æ¥åç»ç®¡çåãå¦ä¸é¢è¿ä¸ªæ¡ä¾ä¸ï¼å¦æåå·¥ç¼å·å®ä¹çæ°æ®ç±»å为å符串åï¼é¿åº¦ä¸º10个å符ãèç¨æ·è¾å
¥çå
容è½ç¶ä¹æ¯å符类åçæ°æ®ï¼ä½æ¯å
¶é¿åº¦è¾¾å°äº20个å符ãåæ¤æ¶å°±ä¼å¼åå¼å¸¸ï¼å 为ç¨æ·è¾å
¥çå
容é¿åº¦è¶
è¿äºæ°æ®åºå段é¿åº¦çéå¶ã
ãã5ã å¤å±ç¯å¢å¦ä½é²æ²»SQL注å
¥å¼æ»å»?
ããå¨å¤å±åºç¨ç¯å¢ä¸ï¼ç¨æ·è¾å
¥çæææ°æ®é½åºè¯¥å¨éªè¯ä¹åæè½è¢«å
许è¿å
¥å°å¯ä¿¡åºåãæªéè¿éªè¯è¿ç¨çæ°æ®åºè¢«æ°æ®åºæç»ï¼å¹¶åä¸ä¸å±è¿åä¸ä¸ªé误信æ¯ãå®ç°å¤å±éªè¯ã对æ ç®ççæ¶æç¨æ·éåçé¢é²æªæ½ï¼å¯¹åå®çæ»å»è
å¯è½æ æãæ´å¥½çåæ³æ¯å¨ç¨æ·çé¢åææ跨信任边ççåç»ç¹ä¸éªè¯è¾å
¥ãå¦å¨å®¢æ·ç«¯åºç¨ç¨åºä¸éªè¯æ°æ®å¯ä»¥é²æ¢ç®åçèæ¬æ³¨å
¥ãä½æ¯ï¼å¦æä¸ä¸å±è®¤ä¸ºå
¶è¾å
¥å·²éè¿éªè¯ï¼åä»»ä½å¯ä»¥ç»è¿å®¢æ·ç«¯çæ¶æç¨æ·å°±å¯ä»¥ä¸åéå¶å°è®¿é®ç³»ç»ãæ
对äºå¤å±åºç¨ç¯å¢ï¼å¨é²æ¢æ³¨å
¥å¼æ»å»çæ¶åï¼éè¦åå±ä¸èµ·åªåï¼å¨å®¢æ·ç«¯ä¸æ°æ®åºç«¯é½è¦éç¨ç¸åºçæªæ½æ¥é²æ²»SQLè¯å¥ç注å
¥å¼æ»å»ã
ãã6ã å¿
è¦çæ
åµä¸ä½¿ç¨ä¸ä¸çæ¼æ´æ«æå·¥å
·æ¥å¯»æ¾å¯è½è¢«æ»å»çç¹ã
ãã使ç¨ä¸ä¸çæ¼æ´æ«æå·¥å
·ï¼å¯ä»¥å¸®å©ç®¡çåæ¥å¯»æ¾å¯è½è¢«SQL注å
¥å¼æ»å»çç¹ãä¸è¿æ¼æ´æ«æå·¥å
·åªè½åç°æ»å»ç¹ï¼èä¸è½å¤ä¸»å¨èµ·å°é²å¾¡SQL注å
¥æ»å»çä½ç¨ãå½ç¶è¿ä¸ªå·¥å
·ä¹ç»å¸¸è¢«æ»å»è
æ¿æ¥ä½¿ç¨ãå¦æ»å»è
å¯ä»¥å©ç¨è¿ä¸ªå·¥å
·èªå¨æç´¢æ»å»ç®æ 并å®æ½æ»å»ã为æ¤å¨å¿
è¦çæ
åµä¸ï¼ä¼ä¸åºå½æèµäºä¸äºä¸ä¸çæ¼æ´æ«æå·¥å
·ãä¸ä¸ªå®åçæ¼æ´æ«æç¨åºä¸åäºç½ç»æ«æç¨åºï¼å®ä¸é¨æ¥æ¾æ°æ®åºä¸çSQL注å
¥å¼æ¼æ´ãææ°çæ¼æ´æ«æç¨åºå¯ä»¥æ¥æ¾ææ°åç°çæ¼æ´ãæ以ååä¸ä¸çå·¥å
·ï¼å¯ä»¥å¸®å©ç®¡çååç°SQL注å
¥å¼æ¼æ´ï¼å¹¶æé管çåéå积æçæªæ½æ¥é¢é²SQL注å
¥å¼æ»å»ãå¦ææ»å»è
è½å¤åç°çSQL注å
¥å¼æ¼æ´æ°æ®åºç®¡çåé½åç°äºå¹¶éåäºç§¯æçæªæ½å µä½æ¼æ´ï¼é£ä¹æ»å»è
ä¹å°±æ ä»ä¸æäºã
å¦ä½é²èé»å®¢å
¥ä¾µç½ç«çå ç§å¸¸è§å®å
¨æ¹æ³
• æ¬æçç®çæ¯åè¯ä¼ä¸å¨å»ºç½ç«æ¶å¦ä½æé ä¸ä¸ªé²èé»å®¢æ»å»çå®å
¨ç½ç«
• äºèç½éçæ¶é´çåå±ï¼å®çä¼å¿è¶æ¥è¶æ¥ææ¾ï¼ä¸çè¶æ¥è¶å¤çä¼ä¸éè¿è¿äºååå°æ¶ä¸é´æçä¼ æ³¢å¹³å°ï¼æé èªå·±å
¬å¸çç½ç«ï¼å¼å±çµååå¡æ´»å¨ï¼ç±äºäºèç½çç¹æ®æ§åå¤ææ§ï¼ä¸æ¦ä½ ä¼ä¸çç½ç«æ¥å
¥äºèç½åï¼ä½ çä¼ä¸ç½ç«ä¾¿ä¸ºä¸ä¸ªå
¬ä¼åºæï¼ä»»ä½äººé½å¯ä»¥ä¸ä½ çä¼ä¸ç½ç«æµè§ä¿¡æ¯ï¼ä»»ä½äºº(æ¯å¦ï¼é»å®¢)é½æå¯è½å¯¹ä½ çä¼ä¸ç½ç«è¿è¡ææ¯ä¸æµè¯ï¼æ¥æ¾ä½ çä¼ä¸ç½ç«å¨ç¨åºè®¾è®¡ä¸çæ¼æ´ï¼ä¸è®ºä»ç®çæ¯æ¶æè¿å
¶å®åå ï¼ä½ é½æ æ³å¶æ¢ä»çè¡ä¸ºï¼å 为é»å®¢å¨è¿ç¨çµèä¸å®æ½æä½ã
• 建设ä¸ä¸ªæå®å
¨ç³»æ°ä¿è¯çç½ç«ï¼å
³ç³»çä¸ä¸ªä¼ä¸çåä¸ä¿¡èªé®é¢ï¼é¢ä¸´æ¥å¤ççãæ¥çèèçç½ç»æ»å»äºä»¶ä¸æåçï¼ç»èªå·±çç½ç«åä¸äºæåºæ¬çå®å
¨é²èæªæ½æ¯é常å¿
è¦çã
• éæ³å符è¿æ»¤å转æ¢
• é»å®¢æ»å»ç½ç«ä¹åï¼å
éç¨æ¢è·¯æ¹å¼ï¼éè¿ç½ç«ççè¨ã论åãæç´¢çç³»ç»ï¼æ³¨å
¥å¯æ§è¡çwebèæ¬ä»£ç åSQLè¯æ³ï¼æ¥è¾¾å°å
¥ä¾µç½ç«çç®çï¼å¯¹ç½ç«ææ交äºå¼æ¥å£çææ¬è¾å
¥æ¡ï¼å¦ï¼ç½ç«çè¨ç³»ç»ãBBSç³»ç»ãblogç³»ç»ãæ索系ç»ãç»éç³»ç»çï¼çå°æ¹éåå¨å®¢æ·ç«¯éæ³å符è¿æ»¤å转æ¢ææ¯ï¼éè¿éæ³å符è¿æ»¤å转æ¢å°å¯æ§è¡çæ¶æ代ç å为å¯è¯»HTML代ç ï¼ä½¿å®åºæ¬å¤±å»äºæ´ç ´ç½ç«çå¨åï¼åèµ·å°äºä¿æ¤ç½ç«ç¨åºæºä»£ç ä¸åç ´åçä½ç¨ã
• 建ä¸ä¸ªæå®èªå®ä¹åºé(Error)çä¿¡æ¯é¡µé¢
• 好å¤å¨äºé²æ¢ç½ç«è®¾è®¡æºä»£ç ç溢åºï¼é»å®¢å¨å
¥ä¾µç½ç«çåå°ç®¡çç³»ç»ï¼å¾å¾å¨ç½é¡µå°åæ è¾å
¥å¯æ§è¡çSQLè¯æ³åæ ¹æ®ç¨åºå为ç½é¡µå½åçä¹ æ¯è¾å
¥ç½åçæ件åï¼ä¸æ¦é»å®¢éç¨è¿ç§æ¹å¼ï¼å°±ä¼å°é»å®¢å¸¦åæå®èªå®ä¹åºé(Error)çä¿¡æ¯é¡µé¢ã
• æç»Cookieéªè¯æ¹å¼
• Cookieç好å¤å¨äºç®¡çåå注åç¨æ·ç»éç½ç«æ¶Cookieä¼ä¿åç»éä¿¡æ¯ï¼ä¸æ¬¡åç»éæ¶Cookieä¼èªå¨å°è¿äºä¿¡æ¯ä¿çå¨ç»éç页é¢è¾å
¥ææ¬æ¡ä¸ï¼å
¶ä½ç¨æ¯ä¸ºäºæ¹ä¾¿ç»éè
ï¼ä½ä¹ç»é»å®¢ééCookieçä¿¡æ¯æä¾äºè¯æºï¼æ以åºè¯¥æç»éç¨å®¢æ·ç«¯Cookieéªè¯ç»éæ¹å¼ï¼èæ¹ç¨éè¿æå¡å¨éªè¯æ¹å¼ç»é并对账å·åå¯ç éç¨ååå å¯æ¹å¼ä¿åã
• ä¸è¦ç¨èªå©å»ºç½ç«ç³»ç»å»ºä½ çä¼ä¸ç½ç«
• ä¸äºç½ç«è®¾è®¡å
¬å¸ä¸ºäºå¢å éééä½ææ¬ï¼å
¶å®å¤§é¨å客æ·å欢è´ä¹°å»ä»·çèªå©å»ºç½ç«ç³»ç»ï¼ï¼å¼åä¸åç¨éçèªå©å»ºç½ç«ç³»ç»ï¼å¦ï¼ç½ç«å
容管çãBBSãæ°é»åå¸ãçè¨ãå客çï¼ï¼åæ¶ä¸ºäºäºå¤ºå¸åºãæ©å¤§äº§åç¥å度ï¼å¾å¾ä¸¤ç§æ¹å¼éå®äº§åï¼ä¸ªäººçå¯ä»¥å
è´¹ä¸è½½ï¼åä¸çåéè¦è´ä¹°ï¼å
¶å®ä¸¤ä¸ªçæ¬çç½ç«å¨æ¯åä¸ç§ç¨åºææ¯åºç¡å¼ååºæ¥çï¼åä¸çæ¯ææéªè¯åå¯ä½åä¸ç¨éï¼æææ¯æ¯æåç»´æ¤ä¿è¯ï¼é»å®¢éè¿ä¸è½½ä¸ªäººçï¼æ¥æ½å¿æ·±ç è¿äºèªå©å»ºç½ç«ç³»ç»çå¼æ¾æºä»£ç ï¼ä»ä¸æ¾åºç¨åºæ¼æ´ï¼ä¸æ¦åç°äºå¯æ»å»çç¨åºæ¼æ´ï¼éè¿æç´¢å¼æå¹³å°æ£ç´¢åºåä¸åå·çæ¬èªå»ºç½ç«ç³»ç»ï¼ç¶åå°±åèµ·æ»å»ï¼è§£å³æ¹å¼æ¾æèªä¸»è½åå¼åç½ç«å
¬å¸è®¾è®¡ä½ çä¼ä¸ç½ç«ï¼éè¿å°ç½ç«ç设计æºä»£ç å°è£
æâ.dllâç»ä»¶ï¼è¿æ ·å³ä¿è¯ç½ç«è®¾è®¡ä¸çå®å
¨æ§åä¿æ¤äºæºä»£ç ï¼åæé«äºç½ç«çå®å
¨ç³»æ°åæ¶ä¹éä½äºç½ç«è¢«å
¥ä¾µçå±å®³ç¨åº¦ï¼å 为é»å®¢æ»é·ç½ç«å¾å¾æ¯ä»ç 究ç½ç«æºä»£ç å¼å§å¹¶ä¸æ¾åºç¨åºæ¼æ´ã
• 解å³Googelâæ´åºâé®é¢
• ä¸äºç¨åºåå¨å¼åç½ç«å欢ç¨èæè·¯å¾æ¹æ³è°ç¨æ°æ®åºï¼è¿å°±å¿
é¡»å°æ°æ®åºä¿åå¨å¼éWWWæå¡çæ件夹ä¸ï¼èªç¶éä¸è¿ç¡ç¾é»å®¢çç¼çï¼ä¸æ¦é»å®¢ç ´è§£äºæ°æ®åºççå®ä¿åä½ç½®ï¼ä¾¿å¯ä»¥ä»æµè§å¨çå°åæ æå¼åä¸è½½è¯¥æ°æ®åºï¼å¯¹ç½ç«çåææ¯é常å±é©çï¼è¦æ³ç¡®ä¿ä½ ç½ç«çæ°æ®åºä¸è¢«é»å®¢ä¸è½½ï¼åªè¦éåå°æ°æ®åºä¿åå¨éWWWæå¡çæ件夹ä¸ï¼éè¿ç©ç(çå®)è·¯å¾æ¹æ³è°ç¨æ°æ®åºï¼å°±å¯å®å
¨é²æ¢é»å®¢ä¸è½½ä½ ä¼ä¸ç½ç«çæ°æ®åºã
• 建ç«robotsæ件
• 为äºé²æ¢ç½ç«çéè¦æ件夹ï¼å¦ï¼åå°ç®¡çï¼åæ件ï¼å¦ï¼çº¯ç¨åºæ件ï¼ä¸è¢«æç´¢å¼æææ¶å½ï¼é¦å
å¨ç½ç«æ ¹ç®å½ä¸å»ºä¸ä¸ªârobots.txtâ纯ææ¬æ件ï¼æ¥é²æ¢ç½ç«çéè¦æ件æå
¶å®ææä¿¡æ¯è¢«æç´¢å¼æææ¶å½ï¼æ大å¤æç´¢å¼æå¹³å°é½éµå®robotsåè®®ï¼æç´¢å¼ææºå¨äººè®¿é®ç½ç«æ¶ï¼é¦å
æ¾å°ç½ç«æ ¹ç®å½ä¸robotsæ件ï¼ç¶åä¼è¯»årobotsæ件çå
容ï¼æ¥ç¡®å®å®å¯¹ç½ç«æ¶å½çèå´ï¼robotsæ件å¯ä»¥è¯´æ¯å¯¹æç´¢å¼ææºå¨äººæ¶å½æéçéå¶ç®¡çï¼ä»èé¿å
å°ç½ç«çéè¦æ件æå
¶å®ææä¿¡æ¯æ´é²å¨ç½ç»ä¸ï¼å¨ç½ç«å®å
¨ä¸èµ·ä¸ä¸ªé²å¾¡éä½ç¨ï¼robotsæ件å¯ç±ç½ç«è®¾è®¡è
å¨éµå®robotsåè®®ä¸ï¼æ ¹æ®ç½ç«çå®é
æ
åµèªç±ç¼åã
• å®å
¨å°æç»é»å®¢çæ»å»åå
¥ä¾µæ¯ä¸å¯è½çï¼å®å
¨å¨ç½ç«çæ¯ä¸ªæ¥å£è¿æ»¤å转æ¢éæ³å符串æ¯åä¸å°ï¼æ¯å¦ï¼å¨æ件ä¸ä¼ æ¶ï¼ç¡ç¾é»å®¢ä¼éå躲è¿è¿æ»¤å转æ¢éæ³å符串çåæ³ï¼å°å¯æ§è¡æ¶æèæ¬ä»£ç ä¿åâ.gifâæ ¼å¼æâ.jpgâæ ¼å¼æ¥å®æ½æ件ä¸ä¼ æ¼æ´æ»å»ï¼è§£å³çæ¹æ³æ¯å¯¹ææä¸ä¼ çæ件å
导å
¥å°â.txtâ纯ææ¬æ件读ä¸éï¼å¤ææ¯å¦æ¯å¯æ§è¡æ¶æèæ¬ä»£ç ï¼å¦ææ¯å°±å é¤ï¼ä½æ¯ç½ç«ç®¡çåè¦æwebç¨åºåºç¡ï¼é»å®¢å
¥ä¾µç½ç«çæ¹å¼ååå¤ç«¯ï¼å åç§å
è´¹æ´ç ´ç½ç«ç软件ï¼ä½¿ä½ ä¼ä¸ç½ç«é²ä¸èé²ï¼ä½æ¯ä»¥ä¸ä»ç»å ç§é²å¾¡æªæ½å¯¹èé¸é»å®¢æ¯å¯è¡çï¼å¯¹äºä¸äºèµæ·±é»å®¢ï¼ä»ä¹è¦è´¹ä¸äºç²¾ååæ¶é´æ¥æ´ç ´ä½ ä¼ä¸ç½ç«ï¼ä»ä¼èèå¼ä¸å¼å¾ï¼æ¯ç«ä½ çç½ç«åªæ¯ä¸ä¸ªä¼ä¸ç½ç«ï¼ä¸æ¯é¶è¡åè¯å¸äº¤æ¶ç°é交æçç½ç«ï¼å®ä»¬çç¨åºè®¾è®¡å®å
¨ç³»æ°æ´é«ï¼ï¼å¨å¤§å¤æ°ä¸æ
åµï¼âå¤§ä¾ âé»å®¢ä¸ä¼å
é¡¾ä½ ä¼ä¸ç½ç«ã
1ãSQL注å
¥æ¼æ´çå
¥ä¾µ
è¿ç§æ¯ASP+ACCESSçç½ç«å
¥ä¾µæ¹å¼ï¼éè¿æ³¨å
¥ç¹ååºæ°æ®åºéé¢ç®¡çåçå¸å·åå¯ç ä¿¡æ¯ï¼ç¶åç解åºç½ç«çåå°å°åï¼ç¶åç¨å¸å·åå¯ç ç»å½è¿å»æ¾å°æ件ä¸ä¼ çå°æ¹ï¼æASPæ¨é©¬ä¸ä¼ ä¸å»ï¼è·å¾ä¸ä¸ªç½ç«çWEBSHELLãè¿ä¸ªæ¯é»é¾ä½¿ç¨çåä¸é¨åï¼åºè¯¥æ¯è¾å¸¸ç¨å§ãç°å¨ç½ä¸åwebshellç太å¤äºã
2ãASPä¸ä¼ æ¼æ´çå©ç¨
è¿ç§ææ¯æ¹å¼æ¯å©ç¨ä¸äºç½ç«çASPä¸ä¼ åè½æ¥ä¸ä¼ ASPæ¨é©¬çä¸ç§å
¥ä¾µæ¹å¼ï¼ä¸å°ç½ç«é½éå¶äºä¸ä¼ æ件çç±»åï¼ä¸è¬æ¥è¯´ASP为åç¼çæ件é½ä¸å
许ä¸ä¼ ï¼ä½æ¯è¿ç§éå¶æ¯å¯ä»¥è¢«é»å®¢çªç ´çï¼é»å®¢å¯ä»¥éåCOOKIE欺éªçæ¹å¼æ¥ä¸ä¼ ASPæ¨é©¬ï¼è·å¾ç½ç«çWEBSHELLæéã
3ãåå°æ°æ®åºå¤ä»½æ¹å¼è·å¾WEBSHELL
è¿ä¸ªä¸»è¦æ¯å©ç¨ç½ç«åå°å¯¹ACCESSæ°æ®åºè¿è¡æ°æ®åºå¤ä»½åæ¢å¤çåè½ï¼å¤ä»½æ°æ®åºè·¯å¾çåé没æè¿æ»¤å¯¼è´å¯ä»¥æä»»ä½æ件çåç¼æ¹æASPï¼é£ä¹å©ç¨ç½ç«ä¸ä¼ çåè½ä¸ä¼ ä¸ä¸ªæ件åæ¹æJPGæè
GIFåç¼çASPæ¨é©¬ï¼ç¶åç¨è¿ä¸ªæ¢å¤åºå¤ä»½åæ¢å¤çåè½æè¿ä¸ªæ¨é©¬æ¢å¤æASPæ件ï¼ä»èè¾¾å°è½å¤è·åç½ç«WEBSHELLæ§å¶æéçç®çã
4ãç½ç«æ注å
¥ä¾µ
è¿ç§ææ¯æ¯éè¿IPç»å®ååæ¥è¯¢çåè½æ¥åºæå¡å¨ä¸æå¤å°ç½ç«ï¼ç¶åéè¿ä¸äºèå¼±çç½ç«å®æ½å
¥ä¾µï¼æ¿å°æéä¹å转èæ§å¶æå¡å¨çå
¶å®ç½ç«ã
ä¸é¢è¿å ç§æå°±å¬ä¸æäºï¼ä¸è¿æç¹é«ææ¯çç«é¿ä¼çæçã
5ãsa注å
¥ç¹å©ç¨çå
¥ä¾µææ¯
è¿ç§æ¯ASP+MSSQLç½ç«çå
¥ä¾µæ¹å¼ï¼æ¾å°æSAæéçSQL注å
¥ç¹ï¼ç¶åç¨SQLæ°æ®åºçXP_CMDSHELLçåå¨æ©å±æ¥è¿è¡ç³»ç»å½ä»¤å»ºç«ç³»ç»çº§å«çå¸å·ï¼ç¶åéè¿3389ç»å½è¿å»ï¼æè
å¨ä¸å°è鸡ä¸ç¨NCå¼è®¾ä¸ä¸ªçå¬ç«¯å£ï¼ç¶åç¨VBSä¸å¥è¯æ¨é©¬ä¸è½½ä¸ä¸ªNCå°æå¡å¨éé¢ï¼æ¥çè¿è¡NCçååè¿æ¥å½ä»¤ï¼è®©æå¡å¨ååè¿æ¥å°è¿ç¨è鸡ä¸ï¼è¿æ ·è¿ç¨è鸡就æäºä¸ä¸ªè¿ç¨çç³»ç»ç®¡çå级å«çæ§å¶æéã
6ãsaå¼±å¯ç çå
¥ä¾µææ¯
è¿ç§æ¹å¼æ¯ç¨æ«æå¨æ¢æµSQLçå¸å·åå¯ç ä¿¡æ¯çæ¹å¼æ¿å°SAçå¯ç ï¼ç¶åç¨SQLEXECä¹ç±»çå·¥å
·éè¿1433端å£è¿æ¥å°è¿ç¨æå¡å¨ä¸ï¼ç¶åå¼è®¾ç³»ç»å¸å·ï¼éè¿3389ç»å½ãç¶åè¿ç§å
¥ä¾µæ¹å¼è¿å¯ä»¥é
åWEBSHELLæ¥ä½¿ç¨ï¼ä¸è¬çASP+MSSQL ç½ç«é常ä¼æMSSQLçè¿æ¥å¯ç åå°ä¸ä¸ªé
ç½®æ件å½ä¸ï¼è¿ä¸ªå¯ä»¥ç¨WEBSHELLæ¥è¯»åé
ç½®æ件éé¢çSAå¯ç ï¼ç¶åå¯ä»¥ä¸ä¼ ä¸ä¸ªSQLæ¨é©¬çæ¹å¼æ¥è·åç³»ç»çæ§å¶æéã
7ãæ交ä¸å¥è¯æ¨é©¬çå
¥ä¾µæ¹å¼
è¿ç§ææ¯æ¹å¼æ¯å¯¹ä¸äºæ°æ®åºå°å被æ¹æaspæ件çç½ç«æ¥å®æ½å
¥ä¾µçãé»å®¢éè¿ç½ç«ççè¨çï¼è®ºåç³»ç»çåè½æ交ä¸å¥è¯æ¨é©¬å°æ°æ®åºéé¢ï¼ç¶åå¨æ¨é©¬å®¢æ·ç«¯éé¢è¾å
¥è¿ä¸ªç½ç«çæ°æ®åºå°å并æ交ï¼å°±å¯ä»¥æä¸ä¸ªASPæ¨é©¬åå
¥å°ç½ç«éé¢ï¼è·åç½ç«çWEBSHELLæéã
8ã论åæ¼æ´å©ç¨å
¥ä¾µæ¹å¼
è¿ç§ææ¯æ¯å©ç¨ä¸äºè®ºååå¨çå®å
¨æ¼æ´æ¥ä¸ä¼ ASPæ¨é©¬è·å¾WEBSHELLæéï¼æå
¸åçå°±æ¯ï¼å¨ç½6.0çæ¬ï¼7.0çæ¬é½åå¨å®å
¨æ¼æ´ï¼æ¿7.0çæ¬æ¥è¯´ï¼æ³¨åä¸ä¸ªæ£å¸¸çç¨æ·ï¼ç¶åç¨æå
å·¥å
·æåç¨æ·æ交ä¸ä¸ªASPæ件çCOOKIEï¼ç¶åç¨æå°åä¹ç±»ç软件éåCOOKIE欺éªçä¸ä¼ æ¹å¼å°±å¯ä»¥ä¸ä¼ ä¸ä¸ªASPæ¨é©¬ï¼è·å¾ç½ç«çWEBSHELLã
温馨提示:答案为网友推荐,仅供参考