sql语句被注入的问题

crazyweed0907 2008-01-18 08:13:05

string sName = ?
string sPassWord =?
sName =sName.replace("'","");
sPassWord = sName.replace("'","")
string sqlStr ="select * from table where password ='"+sPassword+"'+" and name ='"+sName+"'"
执行这个sql语句怎么注入能成功?

...全文

98 7 打赏收藏转发到动态举报

写回复

用AI写文章

7 条回复

切换为时间正序

请发表友善的回复…

发表回复

gwl1984 2008-01-19

打赏
举报

我不知道.通常防注入都是LZ那样的了...

yuling_xia 2008-01-19

打赏
举报

应该是不能的

yuling_xia 2008-01-19

打赏
举报

如果string sPassWord =yPassWord +" or 1=1 "呢？

yuling_xia 2008-01-19

打赏
举报

如果string sName = username + " -- "这样是否可以注入呢？

王集鹄 2008-01-19

打赏
举报

如果是网页上提交的，这样也许有嫌疑。
string sName = "%27";

李洪喜 2008-01-19

打赏
举报

建议使用存储过程，传递参数，一般不会有太大问题。

mohugomohu 2008-01-19

打赏
举报

够了

目录一、联合查询1.判断注入点 2.查询字段 3.确定回显点 4.基础查询信息二、报错注入1.substr()函数 2.查询语句三、布尔盲注1.length( )函数 2.substr( )函数 3.ord( )函数 4.查询语句四、时间盲注1.sleep( )延迟函数 2.查询语句五、堆叠注入1.查询语句***爆库语句SQLMAP工具的使用参数用户可控：前端传递给后端的参数内容是用户可以控制的参数带入数据库查询：传入的参数拼接到SQL语句，且带入数据库查询当传入的id参数为

SQL注入（SQL Injection）是一种常见的Web安全漏洞，主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。从而导致数据库受损（被脱库、被删除、甚至整个服务器权限陷）。即：注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...

目录1 SQL注入概述1.1 SQL注入简介1.2 SQL注入原理（掌握）1.3 SQL注入漏洞的危害（掌握）2 SQL注入漏洞分类2.1 注入位置分类（掌握）2.2 注入数据类型分类（掌握）2.3 注入手法分类（掌握）3 SQL语句基础3.1 简介3.2 注释3.3 MySQL 元数据库 information_schema 内容简介3.4 MySQL 常用函数4 总结参考文献 1 SQL注入概述 1.1 SQL注入简介定义：SQL注入就是指Web应用程序对用户输入数据的合法性没有判断，前端传

一.什么是SQL注入问题？在刚开始学习JDBC的六大步骤中其中我们在第三步（获取数据库操作对象）我们通常会执行以下操作：要执行SQL语句，首先需要获得java.sql.Statement实例执行静态SQL语句。通常通过Statement实例实现。 Statement stmt = conn.createStatement() ; 但是这样会出现一个很大的纰漏，这个纰漏会导致一系列的安全问题，这就被称为SQL注入问题。二.SQL注入实例例如我后台的sql语句为 select * from s_st

在书写SQL语句(或者其他语句)的过程中，有时需要将形参放入准备好的SQL变量中，就需要对语句进行拼接，拼接方法如下，字符串需要整个用双引号包裹，形参需要暴漏在双引号外面，字符串跟形参之间用加号连接。下面对这个SQL语句进行分组分析：正常的语句应该是这样:select * from test(表名) where uname="username" and upassword="password";...

111,120

社区成员

642,537

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

让您成为最强悍的C#开发者

试试用AI创作助手写篇文章吧

+ 用AI写文章