行严格检查,过滤那些可能引起安全问题的字符(比较常见的是单双引号和等于号)。
基本上,如果网站上存在这个漏洞,只要你懂得SQL查询语言,就能够很轻易地登录所有人的帐号,因为只要知道用户名就行了,密码已经被绕过去了。
由于这种漏洞,攻击的方式基本上就那么几种,所以有黑客后来将这些攻击方式总结了一下,然后写成了自己的软件,这样发现某个网站有这样的漏洞之后,就不用再手动输入繁杂的代码了,只要使用这个软件,按下一个按钮,就可以针对这个网站进行攻击方式的遍历,唰的一下就出来了。
杜邵峰使用的这个软件,正是一个这样的注入软件。
很不幸的是,编写这个留言板系统的程序员显然对SQL注入攻击也很有研究,他将那些可能造成这种危害的特殊字符,全部给过滤了。
杜邵峰的额头有些开始冒汗了,他抬头看了一眼对面的莫天,发现他正一脸平静地看着自己的显示器,双手在很连贯地敲击键盘。
不动声色地擦了擦热汗,杜邵峰开始继续寻找另外的方法。
他的焦点还是放在这个留言板上。
反复地查看这个留言板的结构,杜邵峰突然发现