首页 新闻 会员 周边 捐助

求教:在后台执行查询语句传参时底层是怎么实现的?

1
悬赏园豆:100 [已解决问题] 解决于 2011-06-11 15:48

在后台执行查询语句传参时底层是怎么实现的呢?

比如我在 前台文本框输入 “ or 1=1”到了后台传参后会经过怎样的过程哪?

问题补充:

我只是想知道java底层是怎么处理的哪?传参不是能避免这种错误吗?它是怎么避免的呢?
点击查看的主页 点击查看 | 初学一级 | 园豆:100
提问于:2011-06-08 17:48
< >
分享
最佳答案
0

时刻关注着。。。

收获园豆:100
王元勋 | 菜鸟二级 |园豆:413 | 2011-06-09 08:36
其他回答(2)
0

这是很早以前的注入手段,请验证下参数,过滤掉一些SQL关键字。

"or 1=1" 的用意是在你拼写SQL语句的时候加入一些不好的代码。

select * from xxx where 1=1 参数

要是参数这里写上"or 1=1  delete xxx   --"

你的表就没了,

勇敢的星星 | 园豆:237 (菜鸟二级) | 2011-06-09 14:55
0

不了解java。

.NET下面如果你这样直接拼接sql语句执行,那么是可以执行的,后果楼上的已经说了。

所以在.NET下面可以通过参数化的方式,避免这个问题,参数化后,系统会处理此类风险

上不了岸的鱼 | 园豆:4613 (老鸟四级) | 2011-06-11 15:36
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册