欢迎各位来绕过这段小码,进行各种注入,节后放思路

joyhen 2015-09-23 05:03:11
string inputStr = "...你懂的....";
inputStr = inputStr.Replace("'", "");
string strwhere = "select * from tb where" + string.Format("kk='{0}'", inputStr);
...全文
210 点赞 收藏 6
写回复
6 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
Honest_Dr 2016-09-20
是把 . 替换掉吗
回复
卖水果的net 2016-02-02
这么好的话题,怎么没有下文了?
回复
xqchenxue2 2015-09-23
string inputStr = "...你懂的.... or 1=1"; inputStr = inputStr.Replace("'", ""); string strwhere = "select * from tb where" + string.Format("kk='{0}'", inputStr);
回复
卖水果的net 2015-09-23
引用 1 楼 xqchenxue2 的回复:
tring inputStr = "...你懂的...."; inputStr = inputStr.Replace("'", "");把'号置为空 string strwhere = "select * from tb where" + string.Format("kk='{0}'", inputStr);//同strwhere = "select * from tb where" +inputStr;只是赋值而已;
不同,处理单引号,一种比较常见的防 SQL 注入的方法。
回复
joyhen 2015-09-23
引用 1 楼 xqchenxue2 的回复:
tring inputStr = "...你懂的...."; inputStr = inputStr.Replace("'", "");把'号置为空 string strwhere = "select * from tb where" + string.Format("kk='{0}'", inputStr);//同strwhere = "select * from tb where" +inputStr;只是赋值而已;
你确定认真看了么
回复
xqchenxue2 2015-09-23
tring inputStr = "...你懂的...."; inputStr = inputStr.Replace("'", "");把'号置为空 string strwhere = "select * from tb where" + string.Format("kk='{0}'", inputStr);//同strwhere = "select * from tb where" +inputStr;只是赋值而已;
回复
相关推荐
发帖
疑难问题
创建于2007-09-28

2.1w+

社区成员

MS-SQL Server 疑难问题
申请成为版主
帖子事件
创建了帖子
2015-09-23 05:03
社区公告
暂无公告