2 kensonke44 KensonKe44 于 2014.11.30 16:28 提问

想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?
sql

我是名大三的学生,想请假各位大神,如果想做SQL语句注入实验,可以在JSP页面直接嵌入sql语句查询吗?还是使用ssh框架反应机制?还是其它的,有大神可以指教一下小弟吗?该课程是网络安全,主要就是想做sql语句注入检测网页漏洞的?

4个回答

zhoulinliang1985
zhoulinliang1985   2014.11.30 19:09

直接建个环境做测试啊,网上这方面的课程很多。

q107770540
q107770540   Ds   Rxr 2014.11.30 19:40

只要是页面有访问数据库操作的 都可以拿来做 SQL语句注入

caozhy
caozhy   Ds   Rxr 2014.12.01 03:24

最简单的就是在页面上允许输入查询条件,在jsp中根据查询条件拼接sql,并且调用查询。这样就可以看到注入的漏洞了。

itjavaer
itjavaer   2014.12.01 10:13

注入sql:select * from t_user where username = 'admin' and password='a' or '1'='1'
password的值传的是a' or '1'='1
因为where条件中有 or '1'='1',所以这个sql永远为真,这样就是sql注入了。
在jdbc使用Statement 可能会有sql注入问题,使用PreparedStatement就可以解决了。

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!