文章專區
網頁程式技術探討
網頁程式的漏洞
網頁程式的漏洞
在網頁程式的撰寫上,參數的傳遞可分為post與get。
不論是以何種方式傳遞參數,在撰寫程式碼的時候必須得在 Server 端加工過後才能使用;否則很有可能會成為有心人士攻擊的漏洞。
例如:
以get的方式傳遞參數
http://www.test.com.tw/data.asp?data_seq=1
檔案 data.asp
以正常的參數傳遞來說,程式碼可以組合出的 SQL command 是:
select * from data_table where data_seq=1
程式能按照預期的結果執行,但是如果參數被人改成:
http://www.test.com.tw/data.asp?data_seq=1 or 1=1
那麼程式碼組合出來的 SQL command 將變成
select * from data_table where data_seq=1 or 1=1
如此一來,參數將會淪為攻擊者的填空遊戲。輕者程式執行出錯,重者可能會造成資料庫損毀。
因此,在 Server 端程式碼的撰寫上,必需對 Client 端傳遞過來的參數加工處理,以避免類似的漏洞產生。
Posted by 程式設計師 / wyvern