拒绝软件开发中的非法登录- 新手黑客{Novice hacker} - 黑客帝国论坛 ...企业库|免费b2b网站

拒绝软件开发中的非法登录- 新手黑客{Novice hacker} - 黑客帝国论坛 ...

Rank: Rank:

UID: 3
帖子: 3299
精华: 0
金币: 6273
宣传币: 197
阅读权限: 150
在线时间: 121 小时
注册时间: 2009-8-30
{zh1}登录: 2010-2-1

优秀版主大富翁发帖大王赞助会员宣传大使

拒绝软件开发中的非法登录
作者:L4nk0r
时间:2010-1-31

玩过web的SQL注入的朋友知道,如果在执行SQL语句之前没有进行对带入参数的检测,那么就可以通过他们执行很多非法越权的操作.
同样的,在软件开发中同样有这个问题,这个问题在系统的登录体现最为明显,当然其他的地方也有存在但是原理都一样,我们可以举一反三.
针对MFC中的开发,我们可以通过以下代码来防止这种BUG:

  // 检查非法登录,过滤单引号注入
         // 这里为什么要+1呢?主要是当单引号在{dy}个位置,find函数返回时0
  if((m_User.Find("'",0)+1)&&(m_Pwd.Find("'",0)+1))
  {
AfxMessageBox("请勿进行非法登录!");
exit(0);
return ;
  }

m_User变量为CString类型,与用户名输入控件绑定;
m_Pwd变量为CString类型,与用户密码输入控件绑定;
使用CString类型可以很方便的使用其类成员函数find找到非法字符.这里仅仅考虑了单引号,其实已经足够,也许我考虑的不周全,大家可以提出意见.

郑重声明：资讯【拒绝软件开发中的非法登录- 新手黑客{Novice hacker} - 黑客帝国论坛 ...】由发布，版权归原作者及其所在单位，其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实，请读者仅作参考，并请自行核实相关内容。若本文有侵犯到您的版权，请你提供相关证明及申请并与我们联系（qiyeku # qq.com）或【在线投诉】，我们审核后将会尽快处理。

—— 相关资讯 ——