sql注入的检测
SQL注入是因为开发者没有过滤GET/POST的参数导致参数传入mysql语句拼接成注入语句导致.
网上很多作者使用and 1=1 and 1=2来检测是否可以注入.
例如http://xxxxxx.com/ProductShow.asp?articleid=143(详细地址不透漏.)
ProductShow.asp用于显示指定的文章id的文章内容,其文件内容可能是:
<%
id=Request.QueryString("id")
select * from article where id=id
%>正常用户访问生成的SQL语句:
select * from article where id=143
检测注入生成SQL语句:
select * from article where id=143 and 1=1 [正常访问] select * from article where id=143 and 1=2 [出错或者没有查询到文章]
为什么我们说and 1=1正常 1=2出错 就可能存在注入,因为只要没有开发者没有对参数过滤我们的SQL拼接执行了就是可能存在注入
“sql注入的检测” 的相关文章
Git本地仓库学习
1.全局用户信息设置 git config --global user.name gaojiufeng git config --global user.email 392223903...
PHP安装mongodb扩展
在安装之前我们先看看官方给出的依赖关系.首先是dll文件和mongodb软件的依赖关系然后是PHP文件和dll的依赖关系我的是phpstudy的集成环境PHP5.4.45 NTS+Apache+Mysql【一】.安装mongodb3.0软件对比依赖关系下载mongodb3.0.msi软件,完整名称:...
Application的错误使用
Application 对象用于存储和访问来自任意页面的变量,类似 Session 对象。不同之处在于所有的用户分享一个 Application 对象,而 session 对象和用户的关系是一一对应的。很多的书籍中介绍的Application对象都喜欢以统计在线人数来介绍Application 对象...
c#关闭计算机的代码
1.关机Process.Start("shutdown", "-s -t 0"); 2. 注销 Proc...
c#中文简体转换繁体
private const string fantizi = "高久峰是個程序員"; private const string jiantizi = "高久峰是个程序员...
redis安装教程
1.文件redis-2.6.14.tar.gz的上传 /home/john/创建rdtar文件夹 上传redis-2.6.14.tar.gz至rdtar文件夹 2.解压文件 cd /home/john/rdtar tar &n...