2
是否有人知道一個SQL注入漏洞,是不是在一個Web應用程序的一個很好的例子嗎?這次攻擊的用戶輸入是什麼?我正在尋找一個真正的漏洞,而不是投機。下面的圖片是推測攻擊的一個例子。
alt text http://leonardoanceschi.files.wordpress.com/2008/05/mini.jpg
Q
SQL注入
A
回答
11
SQL注入是可用的只要SQL查詢從輸入產生不敏感字符的任何轉義(例如')。因此,如果您有一個桌面應用程序需要使用文本輸入字段並使用它生成sql查詢字符串,則可能會有注入攻擊矢量。
它與Web上下文無關。
4
SQL注入在Web應用程序中更爲明顯,因爲它們是公開的,但它與它們沒有任何關係。任何時候你沒有參數化你的SQL查詢,你都面臨着注入攻擊的風險。
如果您的控制檯或WinForms應用程序需要一個用戶名並從數據庫中進行選擇以查看用戶是否存在,並且通過串聯字符串來完成SQL查詢,則具有相同的風險。始終參數化或正確地轉義您的SQL查詢!
4
嗯,我不知道這相當算作是真實的,但似乎合理的假設,一些不是完全不像這個可能比「名」其他AA場發生:
相關問題
- 1. SQL注入插入
- 2. SQL注入mysql_real_escape_string
- 3. Hibernate SQL注入
- 4. TableAdapters SQL注入
- 5. SQL Server注入
- 6. EJB3 SQL注入
- 7. Rails SQL注入?
- 8. SQL注入vulnerablities
- 9. php sql注入
- 10. SQLAlchemy + SQL注入
- 11. SQL注入bwapp
- 12. SQL注入法
- 13. JPA SQL注入
- 14. PHP - SQL注入
- 15. SQL注入
- 16. DocumentDB Sql注入?
- 17. SQL注入2.0
- 18. DVWA sql注入
- 19. Sql注入group_concat
- 20. 盲SQL注入
- 21. 笨SQL注入
- 22. mysqli_stmt_bind_param SQL注入
- 23. MSAccess SQL注入
- 24. SQL注入的OData關注
- 25. Linq到SQL和SQL注入
- 26. SQL注入$ db-> query($ sql)?
- 27. SQL防止SQL注入
- 28. Dapper和SQL注入
- 29. SQL注入問題
- 30. 停止SQL注入
這款車會撞上運行應用程序的電腦嗎?我不知道這是否有保護。 /鴨 – 2010-04-26 16:39:39
爲什麼你認爲網絡和非網絡應用程序之間存在差異? – 2010-04-26 16:39:47
攻擊矢量是一樣的。你爲什麼要問? – 2010-04-26 16:45:52