sql注入问题求解啊,
时间:2011-08-29
来源:互联网
比如我传值awards.jsp?id=38
到action中就变成
“38 and 1=2 union all select top 1 null,null,char(94)+char(94)+char(94)+cast(cast([name] as nvarchar(4000))+char(94)+cast([filename] as nvarchar(4000)) as nvarchar(4000))+char(94)+char(94)+char(94),null,null,null,null,null,null,null from (select top 1 dbid,name,filename from (select top 35 dbid,name,filename from [master].[dbo].[sysdatabases] order by 1) t order by 1 desc) ”
求解,怎么过滤掉啊
用Pangolin软件测试,他就是测试系统漏洞的,通过我的ID以及他传过去的值就能知道数据库的名称
在线求解,急啊,我还在加班呢
到action中就变成
“38 and 1=2 union all select top 1 null,null,char(94)+char(94)+char(94)+cast(cast([name] as nvarchar(4000))+char(94)+cast([filename] as nvarchar(4000)) as nvarchar(4000))+char(94)+char(94)+char(94),null,null,null,null,null,null,null from (select top 1 dbid,name,filename from (select top 35 dbid,name,filename from [master].[dbo].[sysdatabases] order by 1) t order by 1 desc) ”
求解,怎么过滤掉啊
用Pangolin软件测试,他就是测试系统漏洞的,通过我的ID以及他传过去的值就能知道数据库的名称
在线求解,急啊,我还在加班呢
作者: xupengMarkay 发布时间: 2011-08-29
用preparestatement不就防止sql注入了,至少不会破坏其他数据
作者: chenliuzuo 发布时间: 2011-08-29
怎么弄,求详解
引用 1 楼 chenliuzuo 的回复:
用preparestatement不就防止sql注入了,至少不会破坏其他数据
用preparestatement不就防止sql注入了,至少不会破坏其他数据
作者: xupengMarkay 发布时间: 2011-08-29
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
作者: wanghantong 发布时间: 2011-08-29
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
作者: cmk128 发布时间: 2011-08-29
相关阅读 更多
热门阅读
-
office 2019专业增强版最新2021版激活秘钥/序列号/激活码推荐 附激活工具
阅读:74
-
如何安装mysql8.0
阅读:31
-
Word快速设置标题样式步骤详解
阅读:28
-
20+道必知必会的Vue面试题(附答案解析)
阅读:37
-
HTML如何制作表单
阅读:22
-
百词斩可以改天数吗?当然可以,4个步骤轻松修改天数!
阅读:31
-
ET文件格式和XLS格式文件之间如何转化?
阅读:24
-
react和vue的区别及优缺点是什么
阅读:121
-
支付宝人脸识别如何关闭?
阅读:21
-
腾讯微云怎么修改照片或视频备份路径?
阅读:28
