讨论:SQL注入
Leon3289在话题“关于条目名称”中的最新留言:5年前
本条目页依照页面评级标准评为初级。 本条目页属于下列维基专题范畴: |
|||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
此条目已经由新闻、媒体机构作为内容来源所引用。引用这篇条目的文章是: 林长顺于2008年5月25日所发表的《调查局:企业应防范大规模资料隐码攻击》,出自中央通讯社。 请同时到Wikipedia:新闻报导引用维基百科的内容处加入有关资料。(为免自我提及,本模板仅限于放在条目讨论页的页顶。) |
有被引用吗?看不出来耶
- “SQL资料隐码”并非维基百科的原创或翻译之名词。
- 该新闻的内容并未具体提出参考资料来源,来自维基百科。
- “SQL资料隐码”并不限为特定的资料库才会有的漏洞,凡是符合SQL-92标准的资料库,都可能隐含此漏洞、
- “SQL资料隐码”遭到揭露,至少可追朔到西元2000年之前。最早出自地下世界的相关网站,并广为流传,因此原始出处已不可考,微软直到2002年左右才公开承认这个资料库漏洞。(英文维基的此条目仅可追溯到2004年)
- MS-SQL 有一个叫做“xp_cmdshell”的东西,可以从SQL命令对 Windows 的 Shell 下命令(例如执行外部的执行档),早期的MS-SQL应该没锁到这个使用权限。
- 但可用下列命令,来开启使用xp_cmdshell。
exec sp_configure 'xp_cmdshell', 1
-P1ayer (留言) 2008年5月26日 (一) 03:23 (UTC)
- 中央社写的:
“ | 资料隐码攻击(SQLinjection)又称为隐码攻击 ,发生于应用程式资料库层的安全漏洞。若在程式输入 的资料字串中夹带SQL指令,这些指令会被伺服器误认 为是正常的SQL指令而执行,资料库因而遭到破坏。 | ” |
- 条目原文:
“ | SQL资料隐码攻击(SQL injection)又称为隐码攻击、SQL注入等,是发生于应用程式之资料库层的安全漏洞。简而言之,是在输入的资料字串之中夹带SQL指令,在设计不良的程式当中忽略了检查,那么这些夹带进去的指令就会被资料库伺服器误认为是正常的SQL指令而执行,因此招致到破坏。 | ” |
- 查阅时原文已被移除,但Google库存能找得到。虽有经过改写,不过应该不难看出有参考过条目的首段。—Ellery (留言) 2008年5月26日 (一) 05:57 (UTC)
MS-SQL预存程序内以传入的参数, 动态组要执行的SQL命令
- 例如原本是直接以@Find组你要的SQL命令字串, 改用下列方法
replace(@Find,'''','''''')
- 预防方法大概这样, 第2个参数是连续4个单引号字元, 第2个参数是连续6个单引号字元, 如果还有人有疑问的话, 请自己实验(请勿使用高危险的sql命令当实验品, 后果自负)
- MS讨论区的这篇 还有人要发表您的高见吗?
原创研究
- SQL资料隐码防止相关的程式码(以下若有缺漏之处,不定时修正)
- ASP用SafeSQL.asp
- JSP用SafeSQL.java
- ASP.NET的C#用SafeSQL.cs
外部链接已修改
各位维基人:
我刚刚修改了SQL资料隐码攻击中的2个外部链接,请大家仔细检查我的编辑。如果您有疑问,或者需要让机器人忽略某个链接甚至整个页面,请访问这个简单的FAQ获取更多信息。我进行了以下修改:
- 向 http://security.ccidnet.com/art/1099/20060918/902693_1.html 中加入存档链接 https://web.archive.org/web/20120429034040/http://security.ccidnet.com/art/1099/20060918/902693_1.html
- 向 http://www.windowsitpro.com/Article/ArticleID/46379/46379.html 中加入存档链接 https://web.archive.org/web/20060717225700/http://www.windowsitpro.com/Article/ArticleID/46379/46379.html
有关机器人修正错误的详情请参阅FAQ。
关于条目名称
经查询权威网站國家教育研究院雙語詞彙、學術名詞暨辭書資訊網,可知台湾地区对于SQL injection的翻译为SQL注入,因此将条目移动--Leon3289(留言) 2019年1月7日 (一) 01:58 (UTC)