Re: [SQL ] SQL Injection

看板Database (資料庫)作者TonyQ (骨頭)時間18年前 (2006/07/27 04:16)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串8/11 (看更多)

※ 引述《PsMonkey (痞子軍團團長)》之銘言： : ※ 引述《TonyQ (骨頭)》之銘言： : 通常需要擔心這種東西的 : 大部分是帳號密碼之類的（當然其他的也不是不用顧慮啦） : 簡單地說，這個時候用 POST 比較好 : （絕大多數時候，POST 都比較好） : 不過，這已經離開這個版的討論範圍了難得痞子你也有離題的時候 XD 帳密通常是會用POST，用get會讓變數顯示在網址上，而且還有長度255限制。我的問題不在於過程，而是在於接收的時候， request.getParameter(String) 只要名字對，不管你post或get都會收的啊 (就是說它用 action.jsp?xx='xxx' 這種賤招也會過...)XD 就算你form寫的method是POST，如果它來的根本就不是走form，或者是它偷走別的form過來，跟是不是用POST關係不是那麼大。這串好像都沒有看到SQL Injection比較經典的案例，通常會有人在呼籲不是應該都是因為有慘痛的經驗嗎？ XD 還有所謂的前端處理(也就是JavaScript)，這東西應該是不可靠的。不管是惡意偷走別的form過來，或者是用url走GET， JavaScript好像都拿他們沒辦法XD。駐：所謂的偷走別的form，指的是hacker自己設計一個form， action指向實際的目標頁，透過跨站submit的方式連結。 -- 不過真是受教了那時候 \' '\ \\' 試了半天...就沒想到是'' 囧學藝不精真是見笑了 -- String temp="relax"; | Life just like programing while(buringlife) String.forgot(temp); | to be right or wrong while(sleeping) brain.setMemoryOut(); | need not to say stack.push(life.running); | the complier will stack.push(scouting.buck()); | answer your life stack.push(bowling.pratice()); | Bone everything -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.138.240.58 ※ 編輯: TonyQ 來自: 140.138.240.58 (07/27 04:29)