顯然,通過消息的有效內容進行SQL注入是一種非常普遍的做法,因此它始終是覆蓋此內容的關鍵(我已經在我的代碼中)。不過,我只是想知道通過URL進行SQL注入的可能性,以及這是否可以作爲SQL注入的實際方法。將Web服務URL中的SQL注入作爲參數值
我會給一個示例URL來更好地詳細說明我的問題。如果我有一個網址,如這與SQL語句將被用於包括一個參數作爲它的值內注射(請注意,「選擇」可以是任何SQL查詢):
https://testurl.com:1234/webservicename?parameter=SELECT
我會想知道這是否是有效的方法,並且這對於黑客試圖注入所需Web服務的後端是否真的有效?如果是這樣,那麼最好的方法是什麼?
避免SQL注入的最簡單方法是使用參數化存儲過程(http://stackoverflow.com/search?q=parameterized+stored+procedure+sql+injection),並且不要連接或信任任何來自用戶的輸入。 – slugster 2015-03-25 00:11:19