今天看我的网页，打开sql2000，发现一个全部为<NULL>的用户，md5的密码其实也是空的，什么都是空，除了注册时间。应该是sql被注入了还是怎么回事捏，注册时候过滤我都写了。还包括了注册账号密码长度。为何还会出现NULL的用户名和密码呢。

引用:

原帖由 kevan 于 2010-8-7 11:36 发表
posted by wap, platform: Opera

你确定是注册的漏洞？而不是其他页面的漏洞？

其他页面都是html静态的。其实我也对网页不是很懂。但是其他网页没办法连接数据库吧。

引用:

原帖由 夜神光 于 2010-8-7 11:36 发表
如果是注入的话，你按着注册时间查IIS日志，能把他搜出来，还有注入页面也能找到
也有可能是管理员SQL上查看用户表时不小心点了下，就最底下那行，就成新建了，由于没有对用户密码作为必填项，很可能就这么创建了

可惜我没有弄iis，只是弄了一个建议的asp服务器的程序。小旋风什么的。我一般不会点到啦，因为数据库都不会去动的，不过谢谢你的提醒，我去试试看。大家都什么猜测都可以说下，嘿嘿。

对了那个什么都是null的是半夜产生的，我半夜都在睡觉呢  - -！而且密码已经经过md5转换了。估计是那里注册或者怎样导入数据库的吧。

[ 本帖最后由 胜利11人 于 2010-8-7 12:32 编辑 ]

引用:

原帖由 大头木 于 2010-8-7 12:55 发表
同时查看数据库日志和网页日志喽

数据库的用户名和密码不是应该设计为不允许为空咩

数据库日志只有启动数据库的日志，没有任何其他说明，网页没有日志  - -

用户名密码不知道为何都允许为空奇怪啊！

我设定不为空，居然告诉我，数据库该字段无法设置not null是怎么回事捏。

原来里面已经有空值，所以不可以。- -！

现在把允许为空的那个true改成flase看看。

cmdshell是虾米

我是菜鸟