81,091
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
new_bird_0001 2008-07-08
- 打赏
- 举报
sql注入一般是拼接sql语句造成的,从浏览器传来变量username和password,其值分别是1' or '1'='1、a,有的人喜欢这样:sqlstr="select * from users where username=\'"+username+"\'" and password=\'"+password+"\'";经过这条语句后,sqlstr的值为:select * from users where username='1' or '1'='1' and password='a',这条sql语句在数据库中肯定能查到纪录,这样就产生了sql注入,而使用外部变量sql注入就不存在了:sqlstr="select * from users where username=:username and password=:password"
墨水鱼 2008-07-08
- 打赏
- 举报
顶2楼的。
建议完全弃用Statement,用PreparedStatement。
你可以测试一下用PreparedStatement注入会怎样
建议完全弃用Statement,用PreparedStatement。
你可以测试一下用PreparedStatement注入会怎样
jy02411368 2008-07-08
- 打赏
- 举报
当然存在啦 不过现在很多办法解决了。。一般不是太菜的人都不会中招了
我一般是脚本+过滤器 来防止注入 不过可能还是不行 但是也没有被黑。。。还是有点作用的
去网上搜 正则表达式防止注入 就可以搜到
我一般是脚本+过滤器 来防止注入 不过可能还是不行 但是也没有被黑。。。还是有点作用的
去网上搜 正则表达式防止注入 就可以搜到
zhj92lxs 2008-07-08
- 打赏
- 举报
少用statement,用PrepareStatement
