next up previous contents
Next: SQL 注入查詢 Up: SQL Injection 注入 Previous: SQL Injection 注入   Contents

前言

  1. 使用 PHP+MySQL 架設的網頁,當網頁要求使用者輸入資料,以存取 mysql 資料庫時,若 PHP 程式沒有預防被「注入」的處理,駭客不需要任何工具,很容易就可以破壞或讀取你的資料庫中的機密資料。
  2. 程式設計者不能一相情願的認為,使用者會依照你設定的格式輸入資料,而是要竭盡可能的排除不是系統需要的輸入。
  3. PHP 已有函數可以去除造成 sql 注入危險的字符。
  4. SQL Injection 問題很容易解決,不處理造成的危害可大可小,要視系統本身狀況而定,輕者只是查到不該看的資料,重者整個資料庫損壞,所以不應該置之不理。



2017-06-01