那些遇到过的问题

如果过滤括号和分号,则进行SQL注入

Elm*_*lmo -1 sql sql-server sql-injection

我有这样的声明:

SELECT * FROM TABLE WHERE COLUMN = 123456
Run Code Online (Sandbox Code Playgroud)

123456由用户提供,因此它容易受到SQLi的攻击,但如果我删除所有分号和括号,黑客是否可以运行任何其他语句(如DROP,UPDATE,INSERT等)除外SELECT

我已经在使用准备好的语句,但我很好奇,如果输入被删除了行终止符和括号,黑客能否以任何方式修改数据库?

Bra*_*d M 7

使用sql参数.试图"消毒"输入是一个非常糟糕的主意.尝试谷歌搜索一些复杂的SQL注入片段,你不会相信黑帽子黑客是多么有创意.

  • 能给我举个例子吗? (2认同)

归档时间:

查看次数:

1498 次

最近记录:

13 年 前
相关归档
SSRS设计器中的DataSet面板(报告数据)消失了 159
什么是"高级"SQL? 61
如何在包含数字的SQL Server中对VARCHAR列进行排序? 50
唯一索引或唯一键? 40
Postgres案例敏感性 32
如果条件唯一,MySQL独特计数 26
使用CLR返回表 16
如何在BigQuery SQL中从纪元时间中提取日期 16
计算重叠日期范围的价格 11
在数据库中的参考表中创建一个代表"所有其他记录"的记录是否是个好主意? 7
难疑归档
有一个CSS父选择器吗? 2986
撤消git rebase 2965
如何在Bash中连接字符串变量 2624
显示两个修订版之间已更改的文件 2041
什么是TypeScript,为什么我会用它代替JavaScript? 1637
在Git中撤消一个文件的工作副本修改? 1550
是否有快速Git命令来查看旧版本的文件? 1438
如何垂直对齐div内的图像? 1371
这是什么意思?"'NSUnknownKeyException',原因:...此类不是键值X的键值编码兼容" 1143
什么是Python 3相当于"python -m SimpleHTTPServer" 1124