站长注意
请注意管理后台的安全性。有三点:
1.不能公开管理后台的域名,也不要告诉无关的第三人。
2.请使用https链接,防止被黑客监听。
3.要注意登录程序的严谨性,防止攻击者绕开用户名和密码登录。
比如:
通常,站长会把用户注册的账号和密码记入数据库。在用户输入、提交账号和密码登录时,网站程序把它与数据库中的记录进行比对,相符就允许其登录。
一般情况下,用户登录的SQL查询语句是:
select * from 表名 where username='用户名' and password='密码'
攻击者可在用户名输入框中写:sd' or 1=1 or a='1 ,则以上语句就成了:
select * from 表名 where username='sd' or 1=1 or a='1' and password='密码'
由于1=1永远成立,因此,这个语句是永远成立的,攻击者就能够顺利登录管理后台。用户名和密码就被架空了,可有可无。
要阻止以上情况出现的办法是:加强对用户输入值的程序检查,不允许用户输入值中有'符号。若有',要么阻止登录,要么删除',要么把它改为双的''进行转义。
以上只是SQL入侵的一个简单例子。
在URL中问号?后面的值,多数也会用于程序中构建SQL查询语句,因此在设计程序时,也必须检查从URL中取得值的合法性。
站长需要专门了解SQL注入方面的知识和加强防范。
相关知识详见这里:http://www.baidu.com/s?wd=sql%E6%B3%A8%E5%85%A5