2 vipcjob vipcjob 于 2013.12.05 17:06 提问

关于SQL注入的疑问。。。。。

能伪造DropDownList的值做提交,然后在代码里得到这个伪造值么?
比如现在有个页,页里放个DropDownList,后台提交时做个数据库操作 db.ExecuteSql(.... where ID in ('"+ dropdownlistp.SelectedValue +"')),这种能做注入么? 如果能怎么做?

3个回答

u012908616
u012908616   2013.12.05 22:17

想办法拼出类似
where ID in (' '); delete * from xxxx; select (' ')
的语句。 粗体部分就是你要注入的字符串的值

kllxyu
kllxyu   2013.12.06 15:32

SQL注入一般是针对那些拼装SQL语句的项目
比如执行的代码为 select * from test where 1=1 在where 后面拼装 -- 这样就是一个注释了,这是最简单的用法

u013057393
u013057393   2013.12.05 20:53

为什么不用占位符的方式呢?那样不就不会有这问题了吗

Csdn user default icon
上传中...
上传图片
插入图片