吴天明版主！！请问你是如何切入我的sql系统平台中的！！

windows2002

##############################
2002-09-24 23：15：01
IP:################
端口80！检测到非法入侵！
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2002-09-24 23：16：12
IP:################
进入\\XINJS\SUJSHF\FJK…………………………………………………………………………
2002-09-25 08：15：15
管理员更改密码：###############
…………………………………………………………………………
2002-09-25 08：19：20
IP:################
进入\\XINJS\SUJSHF\FJK…………………………………………………………………………
你有没有搞错！！
我改了密码你都进的去！！你是不是在我机器里装了木马或用冰河这类的东西
进去的！

你给我说实话！！要不然…………要不然我找你们总站长！！
我要告你！











[em25][em25]

[此贴子已经被WTM1于2002-9-25 16:04:59编辑过]

WTM1

大小姐你要找总站长！可以！！但你千万不要宰它！我们很需要它！！

windows2002

人家写错了嘛！！不要说这个！！
你给我招不招！！

WTM1

晕！！甫志高同志都招了，我能不招吗？记得！以后不要用这样的办法了！

Sql语句作为国际标准的数据库查询语句，在各种编程环境中得到了广泛的应用。作为一个成熟、稳定的系统，用户登陆和密码验证是必不可少的。笔者在平时的编程工作中发现，许多程序员在用sql语句进行用户密码验证时是通过一个类似这样的语句来实现的：

　　Sql="Select * from 用户表 where 姓名='"+name+"' and 密码='"+password+"'"

　　其中name和password是存放用户输入的用户名和口令，通过执行上述语句来验证用户和密码是否合法有效。但是通过分析可以发现，上述语句却存在着致命的漏洞。当我们在用户名称中输入下面的字符串时：111'or'1=1，然后口令随便输入，我们设为aaaa。变量代换后，sql语句就变成了下面的字符串：

　　Sql="Select * from 用户表 where 姓名='111'or'1=1' and 密码='aaaa'

　　我们都知道select语句在判断查询条件时，遇到或（or）操作就会忽略下面的与（and）操作，而在上面的语句中1=1的值永远为true，这意味着无论在密码中输入什么值，均能通过上述的密码验证！这个问题的解决很简单，方法也很多，最常用的是在执行验证之前，对用户输入的用户和密码进行合法性判断，不允许输入单引号、等号等特殊字符。

　　上述问题虽然看起来简单，但确实是存在的。例如在互联网上很有名气的网络游戏"笑傲江湖"的早期版本就存在着这样的问题，笔者也是在看了有关此游戏的漏洞报告后才仔细分析了自己以前编写的一些程序，竟然有不少也存在着这样的漏洞。这确实应该引起我们的注意。这也暴露出包括笔者在内的年轻程序员在编程经验和安全意识上的不足。同时也提醒我们编程工作者在程序设计时应当充分考虑程序的安全性，不可有半点马虎，一个看似很小的疏漏可能就会造成很严重的后果。

还有我在你的机器里做了一个後门，可以随时出入！当然你的机器会自动纪录和报警！
也是为了交流方便！谁叫我们的机器是联机的！！还有你和我共用一个IP，说明你和我很近！
你是我们公司哪部分的！？？

windows2002

CGFDB

WTM1

啊哈！也是一位高级管理人员！有空聊聊ACCESS!大家学学！！

wjw113

请问wtm斑竹，有没有什么办法解决这个问题呢，谢谢

binbow_z

CGFDB，听起来好像FBI一样的

WTM1

CGFDB ：
本公司设立的中国大陆商用药品[处方药和非处方药]监督检查中心总控制台
也就是QC药检小组！
可不是FBI!
不过，没有他们的一纸公文，谁也别想把药卖出去，因为没人敢要！

WTM1

CGFDB  : 是高级管理人员或监控人员！不从事实际化验、校样等工作！
属于非生产文职管理层！