- 博客(1)
- 资源 (1)
- 收藏
- 关注
转载 ASP的SQL防注入新方法,不用监测注入字符
原理很简单,数据库字符类型就只有几种。我们常用的就是数值,和字符串,还有时间。 我们一般用到查询的为数值,和字符串。 字符串查询格式为 where 字段='查询条件' 这里无法注入,因为这里加了单引号,查询条件转化为字符串类型,而不是有效的SQL语句。 而注入漏洞就存在于不加单引号的查询条件中,就是数值查询条件。这里查询格式为 where 字段=查询条件 没了单引号,就出现了注入漏洞。
2013-05-19 15:55:53 622
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人