房子后面有池塘好吗:'or' '='入侵命令全集
来源:百度文库 编辑:杭州交通信息网 时间:2024/06/16 05:20:22
谁有他的命令全集啊所有的OR入侵后台的命令
这个是由于写SQL命令字符串拼接不安全造成的!
比如:
"select * from t1 where name = '" & strName & "'"
这么一个命令来执行
但是,如果提交的变量另strName='or'1'='1
的话
结果命令就成了 select * from t1 where name = '' or '1'='1'
这个命令的查询条件永远为真!!!
所以返回了所有t1表中的记录!
其实就是利用了程序员的懒惰造成的不安全,并不是像你想的是一个入侵命令!