81,092
社区成员
发帖
与我相关
我的任务
分享jsp数据库操作 代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★
做了一个搜索器
<input type="text" name="title">
select.jsp页面获得参数后查询数据库
select * form table where title="+title+"
请问要是在<input>里输入特殊代码是否可以对我进行攻击?
<input type="text" name="title">
select.jsp页面获得参数后查询数据库
select * form table where title="+title+"
请问要是在<input>里输入特殊代码是否可以对我进行攻击?
...全文
请发表友善的回复…
发表回复
以梦为马 2005-01-27
- 打赏
- 举报
up
bboonnee 2005-01-27
- 打赏
- 举报
顶一下,接分
ChDw 2005-01-27
- 打赏
- 举报
To ltq2001932(小强)
你的根本就是ASP的代码嘛!!!!在Java里面尽量不应该使用直接匹配的方法
在Java如果操作有参数的数据库操作,应该尽可能的使用
PreparedStatement prep = conn.prepareStatement("select * from table where title=?");
prep.setString(1, text);
ResultSet rs = prep.executeQuery();
这样可以代码清晰又没有注入问题
你的根本就是ASP的代码嘛!!!!在Java里面尽量不应该使用直接匹配的方法
在Java如果操作有参数的数据库操作,应该尽可能的使用
PreparedStatement prep = conn.prepareStatement("select * from table where title=?");
prep.setString(1, text);
ResultSet rs = prep.executeQuery();
这样可以代码清晰又没有注入问题
ltq2001932 2005-01-27
- 打赏
- 举报
<%
On Error Resume Next
Dim strTemp, oRegExp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)
Set oRegExp = New RegExp
oRegExp.IgnoreCase = True
oRegExp.Global = True
oRegExp.Pattern = "select%20|insert%20|delete%20|update%20|exec|'|asc\(|char\(|mid\(|truncate%20|count\(|drop%20|xp_cmdshell|net%20localgroup%20administrators|net%20user|%20or%20"
If oRegExp.Test(strTemp) Then
Response.Write "<Script Language='JavaScript'>"
Response.Write "alert('警告:url中含有非法字符!!该操作已被记录,你的ip是:"& Request.ServerVariables("REMOTE_ADDR") &"');"
Response.Write "history.back();"
Response.Write "</Script>"
Response.End
End If
%>
On Error Resume Next
Dim strTemp, oRegExp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)
Set oRegExp = New RegExp
oRegExp.IgnoreCase = True
oRegExp.Global = True
oRegExp.Pattern = "select%20|insert%20|delete%20|update%20|exec|'|asc\(|char\(|mid\(|truncate%20|count\(|drop%20|xp_cmdshell|net%20localgroup%20administrators|net%20user|%20or%20"
If oRegExp.Test(strTemp) Then
Response.Write "<Script Language='JavaScript'>"
Response.Write "alert('警告:url中含有非法字符!!该操作已被记录,你的ip是:"& Request.ServerVariables("REMOTE_ADDR") &"');"
Response.Write "history.back();"
Response.Write "</Script>"
Response.End
End If
%>
MYLiao 2005-01-27
- 打赏
- 举报
如果你不进行一些过滤操作的话,攻击倒没有,
但是你的数据库的一些重要信息很容易被人获取,
从而可以攻击你的数据库服务器。
但是你的数据库的一些重要信息很容易被人获取,
从而可以攻击你的数据库服务器。
wangwei8117 2005-01-27
- 打赏
- 举报
值得学习!
java悠悠 2005-01-27
- 打赏
- 举报
建议看一下SQL注入攻击的文章
