0
可以通過舊的Mysql API中的複選框等輸入執行SQL注入,以及如何執行? 也許這是一個愚蠢的問題,但我不知道是否有可能。SQL注入是否可以通過類似複選框的輸入來執行?
A
回答
5
100%肯定的。這一切都歸結於你的服務器端實現。當您將數據發送到服務器時,您應該執行輸入驗證。在複選框的情況下,它是一個布爾值。您應該只接受值如true或false,0或1,checked等等。如果發送到服務器的數據的值與期望值不相符,則應該拋棄它,或者更好的是IP發送它應該被記錄下來,因爲這很可能是試圖破解你的服務器。
使用fiddler,CURL或瀏覽器(以及瀏覽器的devconsole)等工具,您可以輕鬆地將任何值傳遞到表示該複選框的字段,因此輸入驗證是服務器端的關鍵。
+0
人們經常會忘記,Chrome需要花費兩秒鐘的時間來編輯複選框的值並提交表單。 – tadman
2
是。複選框的值屬性可以在Web Inspector中編輯,或者有人可以通過代碼提交到URL。它只是發送文本。
相關問題
- 1. 是否可以將圖像放入輸入類型=「複選框」?
- 2. 是否可以使用存儲過程執行sql注入?
- 3. 是否可以通過輸入屬性設置選擇選項?
- 4. 是否可以通過讀取執行殼注入和/或打破引號?
- 5. 通過複選框插入
- 6. 是否可以使用複選框輸入按鈕進行默認設置?
- 7. 是否可以通過cli執行ttcn?
- 8. 通過輸入其編號來檢查複選框
- 9. 通過輸入從逃脫的數據庫輸入SQL注入可能?
- 10. 是否有可能組合框的jQuery自動通過輸入
- 11. jQuery檢查輸入是否爲類型複選框?
- 12. 複選框輸入
- 13. 在PHP中可以通過is_numeric函數進行sql注入嗎?
- 14. ria服務是否有類似sqlclient的SqlCommand來執行T-SQL?
- 15. Vue可以通過依賴注入(DI)來導入組件嗎?
- 16. 是否可以通過動態LINQ注入?
- 17. 是否可以在VBA中創建一個「輸入框」,可以將多行文本選擇作爲輸入?
- 18. 是否可以通過linq來執行XQuery?
- 19. 此查詢是否可以進行SQL注入?
- 20. 是否可以從輸入類型的結果中選擇列
- 21. 使用複選框的SQL注入的可能性?
- 22. 輸入類型複選框的屬性
- 23. 通過勾選複選框的總和HTML文本輸入
- 24. 是否可以在NSTextView中插入複選框?
- 25. 實體框架的SQL運算符函數是否可以防範SQL注入?
- 26. 檢測是否通過按輸入選擇的輸入值不是的onclick
- 27. 在Shiny中,是否可以通過點擊來選擇DT中的行作爲反應輸入?
- 28. 是否可以通過CSS使輸入字段爲只讀?
- 29. 是否可以通過隱藏輸入「保存」/「刪除」錨點
- 30. Symfony 2依賴注入:是否可以通過類名得到服務?
防止SQL注入的基本規則是:Trust * nothing *由用戶提供,並將您放入數據庫的所有內容全部轉義。儘可能使用準備好的語句,它們是最可靠的防禦。 – tadman
談到網絡安全時,唯一愚蠢的問題就是從未問過的問題。 –
@JonathanEustace這意味着每一個有問題的問題都是一個愚蠢的問題。有點不合邏輯。 –