討論:SQL注入

本條目頁依照頁面評級標準評為初級。
本條目頁屬於下列維基專題範疇：

（獲評初級、低重要度）

	資訊科技主題閱論編本條目頁屬於電腦和資訊科技專題範疇，該專題旨在改善中文維基百科資訊科技相關條目類內容。如果您有意參與，請瀏覽專題主頁、參與討論，並完成相應的開放性任務。
初	根據專題品質評級標準，本條目頁已評為初級。
低	根據專題重要度評級標準，本條目已評為低重要度。

此條目已經由新聞、媒體機構作為內容來源所引用。引用這篇條目的文章是：
林長順於2008年5月25日所發表的《調查局：企業應防範大規模資料隱碼攻擊》，出自中央通訊社。
請同時到Wikipedia:新聞報導引用維基百科的內容處加入有關資料。（為免自我提及，本模板僅限於放在條目討論頁的頁頂。）

有被引用嗎？看不出來耶

最新留言：16 年前2則留言2個人參與討論

「SQL資料隱碼」並非維基百科的原創或翻譯之名詞。
該新聞的內容並未具體提出參考資料來源，來自維基百科。
「SQL資料隱碼」並不限為特定的資料庫才會有的漏洞，凡是符合SQL-92標準的資料庫，都可能隱含此漏洞、
「SQL資料隱碼」遭到揭露，至少可追朔到西元2000年之前。最早出自地下世界的相關網站，並廣為流傳，因此原始出處已不可考，微軟直到2002年左右才公開承認這個資料庫漏洞。（英文維基的此條目僅可追溯到2004年）
MS-SQL 有一個叫做「xp_cmdshell」的東西，可以從SQL命令對 Windows 的 Shell 下命令（例如執行外部的執行檔），早期的MS-SQL應該沒鎖到這個使用權限。

但可用下列命令，來開啟使用xp_cmdshell。

exec sp_configure 'xp_cmdshell', 1

中央社寫的：

“

資料隱碼攻擊（SQLinjection）又稱為隱碼攻擊，發生於應用程式資料庫層的安全漏洞。若在程式輸入的資料字串中夾帶SQL指令，這些指令會被伺服器誤認為是正常的SQL指令而執行，資料庫因而遭到破壞。

”

條目原文：

“

SQL資料隱碼攻擊（SQL injection）又稱為隱碼攻擊、SQL注入等，是發生於應用程式之資料庫層的安全漏洞。簡而言之，是在輸入的資料字串之中夾帶SQL指令，在設計不良的程式當中忽略了檢查，那麼這些夾帶進去的指令就會被資料庫伺服器誤認為是正常的SQL指令而執行，因此招致到破壞。

”

查閱時原文已被移除，但Google庫存能找得到。雖有經過改寫，不過應該不難看出有參考過條目的首段。—Ellery (留言) 2008年5月26日 (一) 05:57 (UTC)回覆

最新留言：16 年前1則留言1個人參與討論

replace(@Find,'''','''''')

預防方法大概這樣, 第2個參數是連續4個單引號字元, 第2個參數是連續6個單引號字元, 如果還有人有疑問的話, 請自己實驗(請勿使用高危險的sql命令當實驗品, 後果自負)
MS討論區的這篇還有人要發表您的高見嗎?

最新留言：15 年前1則留言1個人參與討論

SQL資料隱碼防止相關的程式碼（以下若有缺漏之處，不定時修正）
- ASP用SafeSQL.asp
- JSP用SafeSQL.java
- ASP.NET的C#用SafeSQL.cs

最新留言：7 年前1則留言1個人參與討論

各位維基人：

我剛剛修改了SQL資料隱碼攻擊中的2個外部連結，請大家仔細檢查我的編輯。如果您有疑問，或者需要讓機械人忽略某個連結甚至整個頁面，請訪問這個簡單的FAQ獲取更多信息。我進行了以下修改：

有關機械人修正錯誤的詳情請參閱FAQ。

最新留言：5 年前1則留言1個人參與討論