<ruby id="5koa6"></ruby>

<ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>

首頁: 測試技術　軟件測試工具　開源軟件測試技術　軟件測試開發技術　軟件質量保證　軟件測試時代服務　軟件測試專題與軟件測試期刊　軟件測試工程師職業發展　軟件測試業界新聞　軟件測試時代活動發布　

暫時沒有公告

首頁:軟件測試網 >> 軟件測試技術 >> 數據庫 >> SQL Server >> 查看資訊

字號: 小中大 | 推薦給好友上一篇 | 下一篇

SQL Server上的加密術

發布: 2008-10-21 10:12 | 作者: 不詳 | 來源: 測試時代采編 | 查看: 44次 | 進入軟件測試論壇討論

strQuery = "SELECT ContactName FROM Customers " & _
“WHERE CustomerID = ’" & Request.Form("CustID") & "’"
Set rstResults = cnn.Execute(strQuery)
Response.Write(rstResults.Fields("ContactName").Value)

現在你知道什么地方有問題了吧？如果用戶知道一個用戶的ID，他可以通過檢索來獲得全部的相應的名字�，F在明白了？

獲得額外的數據
當然，對于一個攻擊程序，盡管它不知道任何顧客的ID，甚至不用去猜，它也可以獲得數據。為了完成這個工作，它將下面的文本輸入到應用程序調用顧客ID的textbox中：

customer ID:
’UNION ALL SELECT ContactName FROM Customers
WHERE CustomerID <>’

如果你輸入了這個代碼，你將會看到返回一個詢問語句：

SELECT ContactName FROM Customers
WHERE CustomerID = ’’
UNION ALL SELECT ContactName FROM Customers
WHERE CustomerID <>’’
通過獲得空和非空顧客的ID并集，這個查詢語句會返回數據庫中所有的相關姓名。事實上，這個UNION技術可以被用來獲得你數據庫中大多數信息，看看這個CustomerID的值：

延伸閱讀

文章來源于領測軟件測試網 http://www.kjueaiud.com/

75/7<1 2 3 456 7 >

軟件測試論壇

領測軟件測試網最新更新

軟件測試技術相關文章

軟件測試培訓信息

最新軟件測試技術專題

最新領測軟件測試網新聞

軟件測試技術文章排行榜

編輯推薦
周排行
月排行

軟件測試技術分類最新內容

關于領測軟件測試網 | 領測軟件測試網合作伙伴 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖 | 友情鏈接
版權所有(C) 2003－2010 TestAge（領測軟件測試網）|領測國際科技（北京）有限公司|軟件測試工程師培訓網 All Rights Reserved
北京市海淀區中關村南大街9號北京理工科技大廈1402室京ICP備10010545號-5
技術支持和業務聯系：info@testage.com.cn 電話：010-51297073

軟件測試 | 領測國際 | ISTQB | ISTQB官網 | TMMi | TMMi認證 | 國際軟件測試工程師認證 | 領測軟件測試網

老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

<ruby id="5koa6"></ruby>

<ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>