62,047
社区成员
发帖
与我相关
我的任务
分享===============请问各位高手,这样能被sql注入攻击吗?==================
sql="select title,id,UpdateTime from files"
sql=sql &" where contains(Content,'"&title& "') and checked=1"
用的是全文检索,title是输入的关键字,请问各位高手,这样能被sql注入攻击吗?
sql=sql &" where contains(Content,'"&title& "') and checked=1"
用的是全文检索,title是输入的关键字,请问各位高手,这样能被sql注入攻击吗?
...全文
请发表友善的回复…
发表回复
tyhhyx 2005-03-14
- 打赏
- 举报
理論上是
Allen Kuo 说:
view.aspx?id=5
Allen Kuo 说:
對吧
webboy 说:
是这样的
Allen Kuo 说:
那麼,我會寫成
Allen Kuo 说:
int ID = GetParam("ID", -1 )
sql= "select * from news where newsid=" + ID
Allen Kuo 说:
理論上,若id是傳入非數字,我的GetParam會傳回 -1
webboy 说:
那textbox 中呢?是采用验证输入?
Allen Kuo 说:
?
Allen Kuo 说:
不太懂您的意思
webboy 说:
用textbox输入的内容,怎么处理。
Allen Kuo 说:
例如,輸入查詢的條件
Allen Kuo 说:
如果輸入
' --select....
是嗎
webboy 说:
del
webboy 说:
delete ……
Allen Kuo 说:
';delete from xxx
Allen Kuo 说:
是嗎
webboy 说:
是啊
Allen Kuo 说:
理論上,我的code會是
Allen Kuo 说:
string txt = this.txt1.Text;
sql="select * from xxx where keyword =" + toSQLT( txt);
Allen Kuo 说:
而toSQLT(),會將單引號置換成二個單引號
Allen Kuo 说:
並在前後加入一個單引號
Allen Kuo 说:
所以
Allen Kuo 说:
sql最後會變成
webboy 说:
是的,好办法。
Allen Kuo 说:
select * from xxx where keyword='';delete...'
Allen Kuo 说:
Allen Kuo 说:
asp也是如此做的
Allen Kuo 说:
view.aspx?id=5
Allen Kuo 说:
對吧
webboy 说:
是这样的
Allen Kuo 说:
那麼,我會寫成
Allen Kuo 说:
int ID = GetParam("ID", -1 )
sql= "select * from news where newsid=" + ID
Allen Kuo 说:
理論上,若id是傳入非數字,我的GetParam會傳回 -1
webboy 说:
那textbox 中呢?是采用验证输入?
Allen Kuo 说:
?
Allen Kuo 说:
不太懂您的意思
webboy 说:
用textbox输入的内容,怎么处理。
Allen Kuo 说:
例如,輸入查詢的條件
Allen Kuo 说:
如果輸入
' --select....
是嗎
webboy 说:
del
webboy 说:
delete ……
Allen Kuo 说:
';delete from xxx
Allen Kuo 说:
是嗎
webboy 说:
是啊
Allen Kuo 说:
理論上,我的code會是
Allen Kuo 说:
string txt = this.txt1.Text;
sql="select * from xxx where keyword =" + toSQLT( txt);
Allen Kuo 说:
而toSQLT(),會將單引號置換成二個單引號
Allen Kuo 说:
並在前後加入一個單引號
Allen Kuo 说:
所以
Allen Kuo 说:
sql最後會變成
webboy 说:
是的,好办法。
Allen Kuo 说:
select * from xxx where keyword='';delete...'
Allen Kuo 说:
Allen Kuo 说:
asp也是如此做的
leo_boy 2005-03-08
- 打赏
- 举报
如何用js禁止特殊字符输入?
leap_tiger 2005-03-08
- 打赏
- 举报
怎么攻击,顶?
amendajing 2005-03-08
- 打赏
- 举报
能,只要没有禁止特殊字符的输入,都可以!
方法是你可以用js禁止特殊字符输入,
还有就是用存储过程
方法是你可以用js禁止特殊字符输入,
还有就是用存储过程
AllenTing 2005-03-08
- 打赏
- 举报
用sqlparameter,存储过程,不要拼接sql语句
leo_boy 2005-03-08
- 打赏
- 举报
up
Chapant 2005-03-08
- 打赏
- 举报
用参数
hlbasic 2005-03-08
- 打赏
- 举报
可以
用Command 来执行SQL语句可以避免注入式攻击
用Command 来执行SQL语句可以避免注入式攻击
速马 2005-03-08
- 打赏
- 举报
肯定可以
用SqlParameter,不要拼接sql语句
用SqlParameter,不要拼接sql语句
leo_boy 2005-03-08
- 打赏
- 举报
up
junguo 2005-03-08
- 打赏
- 举报
把title中的单引号换成两个单引号就好了!存储过程也是这么处理!
冷月孤峰 2005-03-08
- 打赏
- 举报
能就一个字!
mengshuai1982 2005-03-08
- 打赏
- 举报
做成存储过程呢
LoveCherry 2005-03-08
- 打赏
- 举报
能
fellingsky 2005-03-08
- 打赏
- 举报
完全可以被攻击!
mengshuai1982 2005-03-08
- 打赏
- 举报
高手呢,快来帮帮忙啊
leo_boy 2005-03-08
- 打赏
- 举报
up
