sql注入问题求解啊,
比如我传值awards.jsp?id=38
到action中就变成
“38 and 1=2 union all select top 1 null,null,char(94)+char(94)+char(94)+cast(cast([name] as nvarchar(4000))+char(94)+cast([filename] as nvarchar(4000)) as nvarchar(4000))+char(94)+char(94)+char(94),null,null,null,null,null,null,null from (select top 1 dbid,name,filename from (select top 35 dbid,name,filename from [master].[dbo].[sysdatabases] order by 1) t order by 1 desc) ”
求解,怎么过滤掉啊
用Pangolin软件测试,他就是测试系统漏洞的,通过我的ID以及他传过去的值就能知道数据库的名称
在线求解,急啊,我还在加班呢
[解决办法]
用preparestatement不就防止sql注入了,至少不会破坏其他数据
[解决办法]
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
[解决办法]
1.对SQL语句进行预编译(主要作用)
2.不要让表单字段变的那么简单,也不要与数据库字段耦合
3.要是在URL中传值,最好对URL进行编码。
[解决办法]
