首页 新闻 赞助 找找看

关于SQL注入

0
悬赏园豆:50 [待解决问题]

能伪造DropDownList的值做提交,然后在代码里得到这个伪造值么?

比如现在有个页,页里放个DropDownList,后台提交时做个数据库操作 db.ExecuteSql(.... where ID in ('"+ dropdownlistp.SelectedValue +"')),这种能做注入么?  如果能怎么做?

DaCHun的主页 DaCHun | 菜鸟二级 | 园豆:255
提问于:2013-12-05 17:02
< >
分享
所有回答(9)
0

肯定能伪造提交, 不知道能不能注入成功!

Albert Fei | 园豆:2102 (老鸟四级) | 2013-12-05 17:22
0

 是可以注入的,具体的你可以了解一下sql注册,然后了解一个http提交的相关内容

junjieok | 园豆:779 (小虾三级) | 2013-12-05 17:22
0

可以伪造成功,但是注入是否成功就要看对方的能力了。祝好运

bitbug | 园豆:470 (菜鸟二级) | 2013-12-05 18:28
0

做好参数过滤和参数化查询。注入很可怕,存储过程可以有效的避免注入

jerry-Tom | 园豆:4077 (老鸟四级) | 2013-12-05 20:20
0

应该是可以的,如果采取request.querystring表单提交方式是完全可以伪造值的吧

雾静 | 园豆:561 (小虾三级) | 2013-12-05 23:41
0

用filddler设置断点,修改request中DropDownList的值

sam.c | 园豆:148 (初学一级) | 2013-12-06 08:46
0

用户的数据不要信任

迅捷网络[来送福利] | 园豆:616 (小虾三级) | 2013-12-06 09:28
0

这个如果对提交数据没处理,太容易实现诸如了。修改下提交参数值就能注入~

幻天芒 | 园豆:37175 (高人七级) | 2013-12-06 11:36
0

"') or 1=1 -- )

l4wl137 | 园豆:274 (菜鸟二级) | 2014-01-16 13:11
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册