討論:SQL注入
由Leon3289在話題關於條目名稱上作出的最新留言:5 年前
本條目頁依照頁面評級標準評為初級。 本條目頁屬於下列維基專題範疇: |
|||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
此條目已經由新聞、媒體機構作為內容來源所引用。引用這篇條目的文章是: 林長順於2008年5月25日所發表的《調查局:企業應防範大規模資料隱碼攻擊》,出自中央通訊社。 請同時到Wikipedia:新聞報導引用維基百科的內容處加入有關資料。(為免自我提及,本模板僅限於放在條目討論頁的頁頂。) |
有被引用嗎?看不出來耶
- 「SQL資料隱碼」並非維基百科的原創或翻譯之名詞。
- 該新聞的內容並未具體提出參考資料來源,來自維基百科。
- 「SQL資料隱碼」並不限為特定的資料庫才會有的漏洞,凡是符合SQL-92標準的資料庫,都可能隱含此漏洞、
- 「SQL資料隱碼」遭到揭露,至少可追朔到西元2000年之前。最早出自地下世界的相關網站,並廣為流傳,因此原始出處已不可考,微軟直到2002年左右才公開承認這個資料庫漏洞。(英文維基的此條目僅可追溯到2004年)
- MS-SQL 有一個叫做「xp_cmdshell」的東西,可以從SQL命令對 Windows 的 Shell 下命令(例如執行外部的執行檔),早期的MS-SQL應該沒鎖到這個使用權限。
- 但可用下列命令,來開啟使用xp_cmdshell。
exec sp_configure 'xp_cmdshell', 1
-P1ayer (留言) 2008年5月26日 (一) 03:23 (UTC)
- 中央社寫的:
“ | 資料隱碼攻擊(SQLinjection)又稱為隱碼攻擊 ,發生於應用程式資料庫層的安全漏洞。若在程式輸入 的資料字串中夾帶SQL指令,這些指令會被伺服器誤認 為是正常的SQL指令而執行,資料庫因而遭到破壞。 | ” |
- 條目原文:
“ | SQL資料隱碼攻擊(SQL injection)又稱為隱碼攻擊、SQL注入等,是發生於應用程式之資料庫層的安全漏洞。簡而言之,是在輸入的資料字串之中夾帶SQL指令,在設計不良的程式當中忽略了檢查,那麼這些夾帶進去的指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,因此招致到破壞。 | ” |
- 查閱時原文已被移除,但Google庫存能找得到。雖有經過改寫,不過應該不難看出有參考過條目的首段。—Ellery (留言) 2008年5月26日 (一) 05:57 (UTC)
MS-SQL預存程序內以傳入的參數, 動態組要執行的SQL命令
- 例如原本是直接以@Find組你要的SQL命令字串, 改用下列方法
replace(@Find,'''','''''')
- 預防方法大概這樣, 第2個參數是連續4個單引號字元, 第2個參數是連續6個單引號字元, 如果還有人有疑問的話, 請自己實驗(請勿使用高危險的sql命令當實驗品, 後果自負)
- MS討論區的這篇 還有人要發表您的高見嗎?
原創研究
- SQL資料隱碼防止相關的程式碼(以下若有缺漏之處,不定時修正)
- ASP用SafeSQL.asp
- JSP用SafeSQL.java
- ASP.NET的C#用SafeSQL.cs
外部連結已修改
各位維基人:
我剛剛修改了SQL資料隱碼攻擊中的2個外部連結,請大家仔細檢查我的編輯。如果您有疑問,或者需要讓機器人忽略某個連結甚至整個頁面,請訪問這個簡單的FAQ獲取更多信息。我進行了以下修改:
- 向 http://security.ccidnet.com/art/1099/20060918/902693_1.html 中加入存檔連結 https://web.archive.org/web/20120429034040/http://security.ccidnet.com/art/1099/20060918/902693_1.html
- 向 http://www.windowsitpro.com/Article/ArticleID/46379/46379.html 中加入存檔連結 https://web.archive.org/web/20060717225700/http://www.windowsitpro.com/Article/ArticleID/46379/46379.html
有關機器人修正錯誤的詳情請參閱FAQ。
關於條目名稱
經查詢權威網站國家教育研究院雙語詞彙、學術名詞暨辭書資訊網,可知台灣地區對於SQL injection的翻譯為SQL注入,因此將條目移動--Leon3289(留言) 2019年1月7日 (一) 01:58 (UTC)