sql注入有关问题求解啊
日期:2014-05-17 浏览次数:20662 次
sql注入问题求解啊,
比如我传值awards.jsp?id=38
到action中就变成
“38 and 1=2 union all select top 1 null,null,char(94)+char(94)+char(94)+cast(cast([name] as nvarchar(4000))+char(94)+cast([filename] as nvarchar(4000)) as nvarchar(4000))+char(94)+char(94)+char(94),null,null,null,null,null,null,null from (select top 1 dbid,name,filename from (select top 35 dbid,name,filename from [master].[dbo].[sysdatabases] order by 1) t order by 1 desc) ”
求解,怎么过滤掉啊
用Pangolin软件测试,他就是测试系统漏洞的,通过我的ID以及他传过去的值就能知道数据库的名称
在线求解,急啊,我还在加班呢
------解决方案--------------------
用preparestatement不就防止sql注入了,至少不会破坏其他数据
------解决方案--------------------
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
------解决方案--------------------
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
------解决方案--------------------
比如我传值awards.jsp?id=38
到action中就变成
“38 and 1=2 union all select top 1 null,null,char(94)+char(94)+char(94)+cast(cast([name] as nvarchar(4000))+char(94)+cast([filename] as nvarchar(4000)) as nvarchar(4000))+char(94)+char(94)+char(94),null,null,null,null,null,null,null from (select top 1 dbid,name,filename from (select top 35 dbid,name,filename from [master].[dbo].[sysdatabases] order by 1) t order by 1 desc) ”
求解,怎么过滤掉啊
用Pangolin软件测试,他就是测试系统漏洞的,通过我的ID以及他传过去的值就能知道数据库的名称
在线求解,急啊,我还在加班呢
------解决方案--------------------
用preparestatement不就防止sql注入了,至少不会破坏其他数据
------解决方案--------------------
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
------解决方案--------------------
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
------解决方案--------------------
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
