社区
Web 开发
帖子详情
是否有SQL注入
微笑浅浅
2011-03-15 10:12:30
页面上用户输入邮箱,通过js验证:var pattern = /^([a-zA-Z0-9_-])+@([a-zA-Z0-9_-])+(\.[a-zA-Z0-9_-])+/;
然后把通过验证的邮箱插入数据库,请问这样会发生sql注入么?
我看了一下这个邮箱验证匹配的模式中不可能出现那些注入的特殊字符,但是是否有二进制什么的?
请大侠指点迷津。
...全文
176
25
打赏
收藏
是否有SQL注入
页面上用户输入邮箱,通过js验证:var pattern = /^([a-zA-Z0-9_-])+@([a-zA-Z0-9_-])+(\.[a-zA-Z0-9_-])+/; 然后把通过验证的邮箱插入数据库,请问这样会发生sql注入么? 我看了一下这个邮箱验证匹配的模式中不可能出现那些注入的特殊字符,但是是否有二进制什么的? 请大侠指点迷津。
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
25 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
微笑浅浅
2011-03-15
打赏
举报
回复
[Quote=引用 10 楼 bao110908 的回复:]
引用 2 楼 iss0131 的回复:
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
这些数据插入哪张表也是变化的?
[/Quote]
嘿嘿,我指的是那个email字段,schema字段是不变的
xf_taoran
2011-03-15
打赏
举报
回复
[Quote=引用 1 楼 kebin0001 的回复:]
SQL注入與檢驗無關,關鍵在於你是不是用字串相加的方式組成SQL。
[/Quote]
+
feeses
2011-03-15
打赏
举报
回复
使用参数化就不会发生注入问题,不该判断字符串来处理。
ChDw
2011-03-15
打赏
举报
回复
你那个只是前端验证,你服务器并没有再验证的话,就存在问题。
woshijulinhou
2011-03-15
打赏
举报
回复
sql预编译是不会有sql注入问题存在的,你多虑了
树成
2011-03-15
打赏
举报
回复
在服务器端验证一下即可,或者替换掉sql关键字或者单引号之类的特殊符号。
qingyuan18
2011-03-15
打赏
举报
回复
网页安全性?Sql注入是个问题
酒剑仙
2011-03-15
打赏
举报
回复
关键看你schema 这个字段从哪里传入
火龙果被占用了
2011-03-15
打赏
举报
回复
[Quote=引用 2 楼 iss0131 的回复:]
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
[/Quote]
这些数据插入哪张表也是变化的?
d19901217
2011-03-15
打赏
举报
回复
后台再过滤啊
hepeng_8
2011-03-15
打赏
举报
回复
裂解制
ise_Keven1
2011-03-15
打赏
举报
回复
可以参考下这篇文章:
如何防止sql 注入
ise_Keven1
2011-03-15
打赏
举报
回复
可以参考下这篇文章:http://www.5kuaile.net/what-is-sql-injection-how-to-prevent-sql-injection/
Coolfatman
2011-03-15
打赏
举报
回复
[Quote=引用 2 楼 iss0131 的回复:]
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
[/Quote]
这种采用sql预编译的是不会有sql注入问题的。
soli11722984
2011-03-15
打赏
举报
回复
我浏览器关闭JS,你JS乍做验证?
kai27ks
2011-03-15
打赏
举报
回复
2楼说的有道理。关键就在于你的SQL是否是使用 String +String 的方式。 建议使用占位符"select * from xxx where name =?"和PreparStament.setString(1,"小明")这样的方法可以避免。
微笑浅浅
2011-03-15
打赏
举报
回复
String sql = "insert into "+schema+".test(name,age,email,date)"+" values(?,?,?,CURRENT TIMESTAMP)";
这是我的sql语句。
其中的第三个字段是从页面获取的。
kebin0001
2011-03-15
打赏
举报
回复
SQL注入與檢驗無關,關鍵在於你是不是用字串相加的方式組成SQL。
DBMS_TTT
2011-03-15
打赏
举报
回复
XUEXI
ituuz
2011-03-15
打赏
举报
回复
[Quote=引用 23 楼 bao110908 的回复:]
引用 18 楼 iss0131 的回复:
嘿嘿,我指的是那个email字段,schema字段是不变的
如果 schema 字段的值是由用户产生的,那么就存在 SQL 注入的风险。否则的话你这个 SQL 不会有注入风险。
[/Quote]
楼上好眼熟
加载更多回复(5)
小榕
sql注入
工具
WED.EXE 小榕(榕哥)出的
sql注入
工具 使用该工具可以在短短2秒钟就猜出管理员的帐号和密码! 里面附带的wis.exe 也是小榕写的一个扫描后台管理员登陆路径的工具!
小榕
SQL注入
-wis,wed工具包
大名鼎鼎的
SQL注入
工具包,有兴趣的朋友可以下载对网站的sql漏洞进行扫描测试,反对对网站进行攻击。
SQL注入
(1)--判断
是否
存在
SQL注入
漏洞
什么是
SQL注入
不论是学习后端开发/数据库/网络安全,
SQL注入
安全隐患反复被提起 到底什么是SQL? 维基百科的定义: (1)什么是SQL? SQL是用来操控数据库的语言 (2)举一个例子,现在我们要查询电影“长津湖”的票房数据: 先想象一下开发人员是如何书写代码从数据库中拿到数据的: 作为一名黑客如何思考?
SQL注入
靶场练习- DVWA(1) 【1】首先将security调为low: (记住要点击“submit”) 【2】然后挑战模块SQL Injection 首先尝试正常的 【
【干货】如何判断 Sql 注入点
注:本文在Jewel591 文章片段的基础上加以实例说明而成 原文链接 1.判断
是否
存在 Sql 注入漏洞2.判断 Sql 注入漏洞的类型2.1 数字型判断:2.2 字符型判断:3.实例说明less-1数值型方法判断字符型方法判断less-2 通常情况下,可能存在 Sql 注入漏洞的 Url 是类似这种形式 :http://xxx.xxx.xxx/abcd.php?id=XX对 Sql 注入的判断,主要有两个方面: 判断该带参数的 Url
是否
存在 Sql 注入? 如果存在 Sql 注入,那么属于
[02]
SQL注入
漏洞之
SQL注入
基础知识点 如何检测
是否
含有
sql注入
漏洞(发现
sql注入
漏洞方式方法)【2025/3/8更新】
什么是
SQL注入
SQL注入
攻击漏洞的原因,是由于程序员在编写Web程序时用户可以修改参数或数据并传递至服务器端导致服务端拼接了伪造的SQL查询语句---服务端连接数据库并将伪造的sql语句发送给数据库服务端执行数据库将sql语句的执行结果返回给了服务端服务端又将结果返回给了客户端从而获取到敏感信息,甚至执行危险的代码或系统命令注入产生的原因是接受相关参数未经处理直接带入数据库查询操作前端页面上所有提交数据的地方不管是登录、注册、留言板、评论区、分页等等地方。
Web 开发
81,122
社区成员
341,744
社区内容
发帖
与我相关
我的任务
Web 开发
Java Web 开发
复制链接
扫一扫
分享
社区描述
Java Web 开发
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章