2 vipcjob vipcjob 于 2013.12.05 17:06 提问

关于SQL注入的疑问。。。。。

能伪造DropDownList的值做提交,然后在代码里得到这个伪造值么?
比如现在有个页,页里放个DropDownList,后台提交时做个数据库操作 db.ExecuteSql(.... where ID in ('"+ dropdownlistp.SelectedValue +"')),这种能做注入么? 如果能怎么做?

3个回答

u012908616
u012908616   2013.12.05 22:17

想办法拼出类似
where ID in (' '); delete * from xxxx; select (' ')
的语句。 粗体部分就是你要注入的字符串的值

kllxyu
kllxyu   2013.12.06 15:32

SQL注入一般是针对那些拼装SQL语句的项目
比如执行的代码为 select * from test where 1=1 在where 后面拼装 -- 这样就是一个注释了,这是最简单的用法

u013057393
u013057393   2013.12.05 20:53

为什么不用占位符的方式呢?那样不就不会有这问题了吗

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
SQL注入PPT内容讲解的很详细
SQL注入PPT,内容讲解的很详细,自己看吧。
关于SQL注入,你应该知道的那些事
戴上你的黑帽,现在我们来学习一些关于SQL注入真正有趣的东西。请记住,你们都好好地用这些将要看到的东西,好吗?SQL注入攻击因如下几点而是一种特别有趣的冒险:1.因为能自动规范输入的框架出现,写出易受攻击的代码变得越来越难——但我们仍然会写差劲的代码。 2.因为你使用了存储过程或者ORM框架,你不一定很清楚的是(虽然你意识到SQL注入可能穿透他们,对吗) 我们在这些保护措施之下编写的代码依然是易受
关于SQL注入的资料-2
关于SQL注入的资料-2,讲述sql注入高级技巧
Netty------对于Netty的十一个疑问
1.Netty 是什么?   Netty 是一个基于 JAVA NIO 类库的异步通信框架,它的架构特点是:异步非阻塞、基于事件驱动、高性能、高可靠性和高可定制性。   2.使用 Netty 能够做什么? 开发异步、非阻塞的 TCP 网络应用程序; 开发异步、非阻塞的 UDP 网络应用程序; 开发异步文件传输应用程序; 开发异步 HTTP 服
关于魔术引号、addslashes() 和mysql防注入。(整理)
魔术引号已经在php5.4废除,手册提供了一个addslashes() 来处理引号、双引号、反斜杠、null字符的函数。一下来个人测试的例子。
Whatspay将有望充当未来数字货币交易“媒介”桥梁
货币发展大致遵循由自然货币向人工货币的演变,由杂乱形状向规范形状的演变,由地方铸币向中央铸币的演变,由金属货币向纸币交子的演变,由手工印币向机制印币的演变。这是一个由复杂向简单,由杂乱向规则,由繁冗向快捷,由沉重向轻便的发展过程。近几十年来,世界经济进一步呈现全球化趋势,各经济体之间的经济联系更加紧密,全球金融市场跨越了地域的限制,产品种类、交易频率、规模是以前所无法比拟的。纸币已经无法满足这样的...
sql 注入 sql injection
sql 注入 sql injection 09年关于sql注入的新书 pdf高清英文原版
关于SQL注入的资料-1
关于SQL注入的资料-1,讲述如何通过sql注入操纵SQL Server
OWASP——SQL注入(二)
继SQL注入(一)对数据库注入的详细内容介绍及相关学习测试之后,本篇博文将对medium级别以及high级别进行分享学习测试结果。
模板方法模式详解(包含与类加载器不得不说的故事)
模板方法模式详解(包含与类加载器不得不说的故事)                   作者:zuoxiaolong8810(左潇龙),转载请注明出处,特别说明:本博文来自博主原博客,为保证新博客中博文的完整性,特复制到此留存,如需转载请注明新博客地址即可。                   模板方法模式,这是一个在许多优秀的开源项目中LZ见的最多的一个设计模式,也是LZ觉得最为优