8.0w+
社区成员
是否有SQL注入
页面上用户输入邮箱,通过js验证:var pattern = /^([a-zA-Z0-9_-])+@([a-zA-Z0-9_-])+(\.[a-zA-Z0-9_-])+/;
然后把通过验证的邮箱插入数据库,请问这样会发生sql注入么?
我看了一下这个邮箱验证匹配的模式中不可能出现那些注入的特殊字符,但是是否有二进制什么的?
请大侠指点迷津。
然后把通过验证的邮箱插入数据库,请问这样会发生sql注入么?
我看了一下这个邮箱验证匹配的模式中不可能出现那些注入的特殊字符,但是是否有二进制什么的?
请大侠指点迷津。
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
微笑浅浅 2011-03-15
[Quote=引用 10 楼 bao110908 的回复:]
引用 2 楼 iss0131 的回复:
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
这些数据插入哪张表也是变化的?
[/Quote]
嘿嘿,我指的是那个email字段,schema字段是不变的
引用 2 楼 iss0131 的回复:
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
这些数据插入哪张表也是变化的?
[/Quote]
嘿嘿,我指的是那个email字段,schema字段是不变的
xf_taoran 2011-03-15
[Quote=引用 1 楼 kebin0001 的回复:]
SQL注入與檢驗無關,關鍵在於你是不是用字串相加的方式組成SQL。
[/Quote]
+
SQL注入與檢驗無關,關鍵在於你是不是用字串相加的方式組成SQL。
[/Quote]
+
feeses 2011-03-15
使用参数化就不会发生注入问题,不该判断字符串来处理。
ChDw 2011-03-15
你那个只是前端验证,你服务器并没有再验证的话,就存在问题。
woshijulinhou 2011-03-15
sql预编译是不会有sql注入问题存在的,你多虑了
树成 2011-03-15
在服务器端验证一下即可,或者替换掉sql关键字或者单引号之类的特殊符号。
qingyuan18 2011-03-15
网页安全性?Sql注入是个问题
酒剑仙 2011-03-15
关键看你schema 这个字段从哪里传入
火龙果被占用了 2011-03-15
[Quote=引用 2 楼 iss0131 的回复:]
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
[/Quote]
这些数据插入哪张表也是变化的?
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
[/Quote]
这些数据插入哪张表也是变化的?
d19901217 2011-03-15
后台再过滤啊
hepeng_8 2011-03-15
裂解制
ise_Keven1 2011-03-15
可以参考下这篇文章:如何防止sql 注入
ise_Keven1 2011-03-15
可以参考下这篇文章:http://www.5kuaile.net/what-is-sql-injection-how-to-prevent-sql-injection/
Coolfatman 2011-03-15
[Quote=引用 2 楼 iss0131 的回复:]
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
[/Quote]
这种采用sql预编译的是不会有sql注入问题的。
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
[/Quote]
这种采用sql预编译的是不会有sql注入问题的。
soli11722984 2011-03-15
我浏览器关闭JS,你JS乍做验证?
kai27ks 2011-03-15
2楼说的有道理。关键就在于你的SQL是否是使用 String +String 的方式。 建议使用占位符"select * from xxx where name =?"和PreparStament.setString(1,"小明")这样的方法可以避免。
微笑浅浅 2011-03-15
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
这是我的sql语句。
其中的第三个字段是从页面获取的。
kebin0001 2011-03-15
SQL注入與檢驗無關,關鍵在於你是不是用字串相加的方式組成SQL。
DBMS_TTT 2011-03-15
XUEXI
ituuz 2011-03-15
[Quote=引用 23 楼 bao110908 的回复:]
引用 18 楼 iss0131 的回复:
嘿嘿,我指的是那个email字段,schema字段是不变的
如果 schema 字段的值是由用户产生的,那么就存在 SQL 注入的风险。否则的话你这个 SQL 不会有注入风险。
[/Quote]
楼上好眼熟
引用 18 楼 iss0131 的回复:
嘿嘿,我指的是那个email字段,schema字段是不变的
如果 schema 字段的值是由用户产生的,那么就存在 SQL 注入的风险。否则的话你这个 SQL 不会有注入风险。
[/Quote]
楼上好眼熟
加载更多回复
10个SQL注入工具 BSQLHacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群。BSQLHacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构。TheMole是一款开源的自动化SQL注入工具,其可绕过...
防sql注入建议.txt 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力...
防御SQL注入的方法总结 SQL 注入是一类危害极大的攻击形式...1. 演示下经典的SQL注入 我们看到:select id,no from user where id=2; 如果该语句是通过sql字符串拼接得到的,比如: String sql = “select id,no from user where id=” + id;
.Net防sql注入的几种方法 防sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行...
C#防SQL注入代码的三种方法 对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#防SQL注入方法一 在Web.config文件中
寻找sql注入的网站的方法(必看) 方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
使用Python防止SQL注入攻击的实现示例 主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Hibernate使用中防止SQL注入的几种方案 Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。 在获取便利操作的同时...
