81,092
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
Jlins 2010-12-08
- 打赏
- 举报
使用 过滤器进行统一过滤
alien007 2010-12-08
- 打赏
- 举报
[Quote=引用 3 楼 alien007 的回复:]
不是sql注入
是这样的 可以用在浏览器里去世用这样的code去hack你
javascript:alert(docmemnt.form[0].aa='xxx')
当你去提交是 就把它的数据提交 并且这些数据会破坏系统 或者业务的完整性
[/Quote]
如果这样的话 是不是工作量很大阿 每一个url我都要去check
那么在服务端做check 大家都是怎么处理的
不是sql注入
是这样的 可以用在浏览器里去世用这样的code去hack你
javascript:alert(docmemnt.form[0].aa='xxx')
当你去提交是 就把它的数据提交 并且这些数据会破坏系统 或者业务的完整性
[/Quote]
如果这样的话 是不是工作量很大阿 每一个url我都要去check
那么在服务端做check 大家都是怎么处理的
寻道的 Programmer 2010-12-08
- 打赏
- 举报
同意楼上!
new_bird_0001 2010-12-08
- 打赏
- 举报
这明显是你系统的问题,数据验证应该包括服务器端验证与客户端验证的,如果你做了服务器端验证,就不会产生这样的问题了
alien007 2010-12-08
- 打赏
- 举报
不是sql注入
是这样的 可以用在浏览器里去世用这样的code去hack你
javascript:alert(docmemnt.form[0].aa='xxx')
当你去提交是 就把它的数据提交 并且这些数据会破坏系统 或者业务的完整性
是这样的 可以用在浏览器里去世用这样的code去hack你
javascript:alert(docmemnt.form[0].aa='xxx')
当你去提交是 就把它的数据提交 并且这些数据会破坏系统 或者业务的完整性
林二棍子 2010-12-08
- 打赏
- 举报
SQL注入用PrepareStatement?不然就查session,有session,再检查数据有效性。如果人家的数据是有效的,你管他是用js注入还是用其他方式?顶多再限制一下,多长时间内不允许多次提交。
qazwsxhai 2010-12-08
- 打赏
- 举报
用PrepareStatement,不要直接拼sql.
