62,071
社区成员
发帖
与我相关
我的任务
分享url参数中有两个问号
www.abc.aspx?id=123?sa=222这写法是什么意思啊 sa是id的参数? 那要怎么获取啊 这样能注入不?
...全文
请发表友善的回复…
发表回复
dalmeeme 2011-08-29
- 打赏
- 举报
加密解密也是个好办法,只要算法保证一定的效率。
亦雨轩 2011-08-29
- 打赏
- 举报
UrlEncode吧
Im_Sorry 2011-08-29
- 打赏
- 举报
我有一个加密URL参数的文件,
得出URL的结果是:www.baidu.com/a/b.aspx?isdsd44t1v4x876a
这样的形式的!
得出URL的结果是:www.baidu.com/a/b.aspx?isdsd44t1v4x876a
这样的形式的!
dalmeeme 2011-08-29
- 打赏
- 举报
用参数化sql语句,不用验证也注入不了的。
huangwenquan123 2011-08-29
- 打赏
- 举报
123?sa=222就作为id的参数接收了。如果你的id只接收整数,那就就加个验证。
孟子E章 2011-08-29
- 打赏
- 举报
你的sa就收不到了啊
Masher 2011-08-29
- 打赏
- 举报
可是 Request.QueryString["id"] ==123?sa=222
孟子E章 2011-08-29
- 打赏
- 举报
2个问号后台是接收不到参数的
Masher 2011-08-29
- 打赏
- 举报
大哥 这我知道。。。但现在别人用那种方式注入了啊
孟子E章 2011-08-29
- 打赏
- 举报
你要传递问号,必须写成
www.abc.aspx?id=123%3Fsa=222
www.abc.aspx?id=123%3Fsa=222
孟子E章 2011-08-29
- 打赏
- 举报
必须写成
www.abc.aspx?id=123&sa=222
传递2个参数而已,
防止注入?后台Request.QueryString["id"]之后要进行判断,去掉非法的字符,或者参数化
www.abc.aspx?id=123&sa=222
传递2个参数而已,
防止注入?后台Request.QueryString["id"]之后要进行判断,去掉非法的字符,或者参数化
