关于SQL注入的疑问。。。。。

能伪造DropDownList的值做提交，然后在代码里得到这个伪造值么？
比如现在有个页，页里放个DropDownList，后台提交时做个数据库操作 db.ExecuteSql(.... where ID in ('"+ dropdownlistp.SelectedValue +"'))，这种能做注入么？如果能怎么做？

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
IT莹 2013-12-05 12:53
关注
为什么不用占位符的方式呢？那样不就不会有这问题了吗

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

PreparedStatement防止sql注入的一些疑问? sql
2018-11-08 10:20

回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数，所以根本不存在添加单引号一说。再说，添加单引号就不能注入了么？ SELECT * FROM employees WHERE salar
sleep函数被禁用后怎么进行sql注入？ mysql web安全网络安全
2022-10-06 21:55

回答 2 已采纳通过rpad或repeat构造长字符串，加以计算量大的pattern，通过repeat的参数可以控制延时长短。
关于Spring MVC 框架的SQL注入与XSS攻击 spring sql
2017-10-17 08:26

回答 2 已采纳【1】拦截器中获取request中的数据这个貌似不难，，【2】过滤可能产生的sql注入与xss攻击这个的话，简单点就是过滤非法字符，比如&，之类的，有问题还可以追问
教你们如何从根本上防止 SQL 注入的
2022-03-07 14:48

动作缓慢的程序猿的博客如何确定SQL注入漏洞通过以上的实例，我们仍然还会有疑问：黑客并不知道我们程序代码的逻辑和SQL语句的写法，他是如何确定一个网站是否存在SQL注入漏洞呢？一般说来有以下2种途径： 1、错误提示如果目标Web网站...
sql注入过waf了解吗，若一个sql注入过滤了information关键词，怎么绕过 mysql web安全网络安全
2022-08-14 11:20

回答 4 已采纳大小写，双写，内联注释，编码绕过
SQL语句中关于连接的问题 sql 数据库开发
2021-08-20 10:34

回答 2 已采纳 left join的场景罢了，第二种如果是条件不符合的，数据直接查不出来，第一种，left join的条件不成立，主表（score表）的数据还在，所以最终的结果是第一种的数据量>=第二种的数据量
sql注入问题,万能注入等方面的 sql
2018-10-23 06:22

回答 3 已采纳相当于没有where条件你这个SQL语句中条件是where username= ' ' or 1=1 or '1'='1 ' where 后面就是你的条件，表示满足这些条件的数据都更新
Flink SQL 在美团实时数仓中的增强与实践
2023-04-03 20:07

Apache Flink的博客摘要：本文整理自美团数据系统研发工程师董剑辉&... Flink SQL 在美团2. SQL 作业细粒度配置3. SQL 作业变更支持从状态恢复4. SQL 正确性问题排查能力建设5. 未来展望Tips：点击「阅读原文」查看原文...
appscan扫描出sql注入 java
2019-01-18 11:24

回答 3 已采纳先问几个问题，你这个是POST方法嘛？后端用到了什么框架没有？比如springmvc 通过跟踪tomcat的日志，应该是在调用org.apache.tomcat.util.http.Parame
sql注入参数报错,关于日期范围,传参 hibernate java java-ee
2019-03-12 14:08

回答 1 已采纳注意Java代码中的日期格式和SQL语句中的日期格式保持一致。使用DATE_FORMAT将日期字段转换成字符串，如 DATE_FORMAT(日期, '%Y-%m-%d %H:%i:%S
sql如何二选一作为展示字段 sql 大数据数据库
2022-07-07 16:41

回答 3 已采纳 selectcount(yh)case when zzjl > rdrq then rdrq else zzjl ymfromm_yhslgroup by case when zzjl &
必看，关于sql的慢查询及解决方案
2022-11-11 18:12

西门飘雪VIP的博客 SQL中，广义的查询就是crud操作，狭义的查询仅仅是select查询操作，慢查询就是指广义的查询，否则为什么不叫慢查询、慢更新、慢删除。慢查询就是那些执行慢的sql语句，包括crud，一般是查询，所以称为慢查询问题1：...
这段代码会有sql注入的安全问题吗? sql
2017-12-06 03:59

回答 2 已采纳不知道诶，在取得对象之前有没有对对象做过处理？用正则表达式对取得的对象做一下处理才可能没有问题。
Web安全之SQL注入攻击
2017-07-03 10:03

weixin_33807284的博客前言：①这个晨讲我构思了两个星期，但是之前电脑坏了，一直拖到昨天才开始着手准备，...　基本的SQL语句(想想海璐姐你就懂了)；　③本晨讲形式为PPT+个人演讲+实际演示，但因为TTS征文限制，少去了很多效果，深...
关于web安全之sql注入攻击
2013-10-12 23:33

js豆沙的博客前言：①这个晨讲我构思了两个星期，但是之前电脑坏了，一直拖到昨天才开始着手准备，时间仓促， ... 基本的SQL语句(想想海璐姐你就懂了)； ③本晨讲形式为PPT+个人演讲+实际演示，但因为TTS征文限制
没有解决我的问题, 去提问

悬赏问题

¥15 如何在scanpy上做差异基因和通路富集？
¥20 关于#硬件工程#的问题，请各位专家解答！
¥15 关于#matlab#的问题：期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707，使系统具有较小的超调量
¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
¥30 截图中的mathematics程序转换成matlab
¥15 动力学代码报错，维度不匹配
¥15 Power query添加列问题
¥50 Kubernetes&Fission&Eleasticsearch
¥15 報錯：Person is not mapped，如何解決？
¥15 c++头文件不能识别CDialog

关于SQL注入的疑问。。。。。

3条回答 默认 最新

悬赏问题

3条回答默认最新