讨论:SQL注入

本条目页依照页面品质评定标准被评为初级。
本条目页属于下列维基专题范畴：

（获评初级、低重要度）

	信息技术主题查论编本条目页属于电脑和信息技术专题范畴，该专题旨在改善中文维基百科信息技术相关条目类内容。如果您有意参与，请浏览专题主页、参与讨论，并完成相应的开放性任务。
初	根据专题质量评级标准，本条目页已评为初级。
低	根据专题重要度评级标准，本条目已评为低重要度。

此条目已经由新闻、媒体机构作为内容来源所引用。引用这篇条目的文章是：
林长顺于2008年5月25日所发表的《调查局：企业应防范大规模资料隐码攻击》，出自中央通讯社。
请同时到Wikipedia:新闻报导引用维基百科的内容处加入有关资料。（为免自我提及，本模板仅限于放在条目讨论页的页顶。）

有被引用吗？看不出来耶

“SQL资料隐码”并非维基百科的原创或翻译之名词。
该新闻的内容并未具体提出参考资料来源，来自维基百科。
“SQL资料隐码”并不限为特定的数据库才会有的漏洞，凡是符合SQL-92标准的数据库，都可能隐含此漏洞、
“SQL资料隐码”遭到揭露，至少可追朔到公元2000年之前。最早出自地下世界的相关网站，并广为流传，因此原始出处已不可考，微软直到2002年左右才公开承认这个数据库漏洞。（英文维基的此条目仅可追溯到2004年）
MS-SQL 有一个叫做“xp_cmdshell”的东西，可以从SQL命令对 Windows 的 Shell 下命令（例如执行外部的执行档），早期的MS-SQL应该没锁到这个使用权限。

但可用下列命令，来开启使用xp_cmdshell。

exec sp_configure 'xp_cmdshell', 1

中央社写的：

“

资料隐码攻击（SQLinjection）又称为隐码攻击，发生于应用程序数据库层的安全漏洞。若在程式输入的资料字串中夹带SQL指令，这些指令会被服务器误认为是正常的SQL指令而执行，数据库因而遭到破坏。

”

条目原文：

“

SQL资料隐码攻击（SQL injection）又称为隐码攻击、SQL注入等，是发生于应用程序之数据库层的安全漏洞。简而言之，是在输入的资料字串之中夹带SQL指令，在设计不良的程式当中忽略了检查，那么这些夹带进去的指令就会被数据库服务器误认为是正常的SQL指令而执行，因此招致到破坏。

”

查阅时原文已被移除，但Google库存能找得到。虽有经过改写，不过应该不难看出有参考过条目的首段。—Ellery (留言) 2008年5月26日 (一) 05:57 (UTC)[回复]

replace(@Find,'''','''''')

预防方法大概这样, 第2个参数是连续4个单引号字元, 第2个参数是连续6个单引号字元, 如果还有人有疑问的话, 请自己实验(请勿使用高危险的sql命令当实验品, 后果自负)
MS讨论区的这篇还有人要发表您的高见吗?

SQL资料隐码防止相关的程式码（以下若有缺漏之处，不定时修正）
- ASP用SafeSQL.asp
- JSP用SafeSQL.java
- ASP.NET的C#用SafeSQL.cs

各位维基人：

我刚刚修改了SQL资料隐码攻击中的2个外部链接，请大家仔细检查我的编辑。如果您有疑问，或者需要让机器人忽略某个链接甚至整个页面，请访问这个简单的FAQ获取更多信息。我进行了以下修改：

有关机器人修正错误的详情请参阅FAQ。

经查询权威网站國家教育研究院雙語詞彙、學術名詞暨辭書資訊網，可知台湾地区对于SQL injection的翻译为SQL注入，因此将条目移动--Leon3289（留言） 2019年1月7日 (一) 01:58 (UTC)[回复]