SQL注入原理

一、SQL注入介绍

SQL注入就是将原本的SQL语句的逻辑结构改变,使得SQL语句的执行结果和原本开发者的意图不一样;

方法:在表单中将命令当作用户输入提交给程序;

二、SQL注入范例

这里我们根据用户登录页面

<form action="" >  

用户名:<input type="text" name="username"><br/>  

密  码:<input type="password" name="password"><br/>  

</form>

预先创建一个表:

create table user_table(  

    id      int Primary key,  

    username    varchar(30),  

    password    varchar(30)  

);
insert into user_table values(1,'xiazdong-1','12345');  

insert into user_table values(2,'xiazdong-2','12345');

如果我们把username和password的值变为:

username='  OR 1=1 --
password=x

会变成一个很可怕的情况:将把数据库中所有用户都列出来,为什么呢?

因为SQL语句现在为:

  1. SELECT id FROM user_table WHERE username='' OR 1=1 -- ' AND password='12345';

    因为–表示SQL注释,因此后面语句忽略;

    因为1=1恒成立,因此 username=” OR 1=1  恒成立,因此SQL语句等同于:

SELECT id FROM user_table;

javascript iframe 操作(一)

[兼容所有浏览器 包括IE7/8/9]

1.父页面中获取IFRAME的WINDOW对象

获得了window对象后,就可以调用iframe页面中定义的方法等。

IE:可以通过iframeId、window.iframeId、window.iframeName、window.frames[iframeId]、window.frames[iframeName]、window.frames[iframeIndex]和iframeElement.contentWindow这6种方法来获取iframe的window对象。

FF:可以通过window.iframeName、window.frames[iframeName]和iframeElement.contentWindow这3种方法获取window对象。

总结:为了兼容大多数浏览器,应使用iframeElement.contentWindow来获取。见如下代码:

var iframe = document.getElementById('iframe1').contentWindow;

2.父页面中获取IFRAME的DOCUMENT对象

总结:应使用以下两方法来获取,见代码:

<iframe id="iframe1" src="frame1.html"></iframe>

<script type="text/javascript">

    //获取iframe的document对象

    //方法1:先获取window对象再通过window.docuemnt

    var iframe = document.getElementById('iframe1').contentWindow.document;

    //可以使用jquery操作

    $(iframe).find('#con').html('test');

    //方法2:分支判断

    function getIframeDom(iframeId) {

        return document.getElementById(iframeId).contentDocument || window.frames[iframeId].document;

    }

</script>
注:为了防止iframe没有加载完,建议将获取iframe元素的操作放在这个里面:等待iframe加载完[ifrm为iframe的id值]
    document.getElementById("ifrm").onload = function (){
        
    }

3.IFRAME页面获取父页面的WINDOW对象

parent:父页面window对象
window.parent
top:顶层页面window对象
window.top
self:始终指向当前页面的window对象(与window等价)

如果窗口是顶级窗口,那么parent==self==top
根据这个可以防止网页被嵌套:

if(window!=window.top){
    window.top.location.href=window.location.href:
}

 

兼容性:适用于所有浏览器,当拿到了父页面的window对象后,就可以访问父页面定义的全局变量和函数。

注:chrome要求在服务器环境下进行iframe操作。

参考资料:http://mao.li/javascript/javascript-iframe/