标签:
某人给某单位开发一个平台,开发完之后,依常规发布到外网服务器运行,客户把管理员账号,密码告诉过某人,这是为了给某人方便前期数据测试。
之前某人也经常登录上去查看平台一切是否正常,也一直没有发现什么问题。可是过了几个月后,某人想到平台查一些数据,可是忘记了当时密码,怎么也想不起来,又不好在问客户要,于是想到sql注入,打开自己写的源代码登录语句,如下:
select * from s_user where username=‘{0}‘ and userpwd=‘{1}‘
某人一看,这要是想非法登录进去,不难!!!
在用户名文本框中输入:admin‘--
最后登录语句就成了,如下:
select * from s_user where username=‘admin‘--‘ and userpwd=‘{1}‘
这等同于只查询了用户名,而密码验证被注释了!!!
点击登录,果真登录成功!天啊!!!!这怎么可以???
至此,我想除了某人之外应该还有很多人的程序存在此问题!你的程序存在这类的问题吗?
标签:
原文地址:http://www.cnblogs.com/syyblog/p/4278959.html
