PTT數位生活區 / Database (資料庫)

Re: [SQL ] SQL Injection

看板Database (資料庫)作者時間18年前 (2006/07/28 02:39), 編輯推噓1(101)
留言2則, 2人參與, 最新討論串11/11 (看更多)
主要的重點是 隱碼攻擊要在後端防 前端是防不了的 還有重點是有沒有作檢查 只限制收POST或GET沒有什麼關係 JSP也是可以對POST、GET或 其他選項分別作處理的 ASP收GET和POST的方式也不一樣 也是有可能被隱碼注射的 重 點是有沒有對字串作檢查 除了檢查字串有些SQL的寫法可能也是比較可以防這種東西的 像 "select password from table where ID='"+id+"'" 然後再把sql查到的密碼跟收到傳來的密碼比 應該就比 "select * from table where ID='"+id+" 'and password='"+password+"'" 安全 ※ 引述《PsMonkey (痞子軍團團長)》之銘言: : ※ 引述《TonyQ (骨頭)》之銘言: : : 難得痞子你也有離題的時候 XD : : 帳密通常是會用POST, : : 用get會讓變數顯示在網址上,而且還有長度255限制。 : : 我的問題不在於過程,而是在於接收的時候, : : request.getParameter(String) : : 只要名字對,不管你post或get都會收的啊 : : (就是說它用 action.jsp?xx='xxx' 這種賤招也會過...)XD : : 就算你form寫的method是POST,如果它來的根本就不是走form, : : 或者是它偷走別的form過來,跟是不是用POST關係不是那麼大。 : 好吧,那繼續離題... : (這是不良示範... 請忽略我的版主身分... [逃]) : 你會有這樣子的疑惑,那可能是你都用 jsp,所以會怕? : Servlet 的話,你可以只 override doPost() 或是 doGet() : 這樣子,就沒有你的問題了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.172.200.32 ※ 編輯: drkkimo 來自: 218.172.200.32 (07/28 03:22)
07/28 13:15, , 1F
這篇討論到後來,早就已經脫離 injection 的議題了 [逃]
07/28 13:15, 1F
07/28 16:27, , 2F
mm... 也是沒錯..
07/28 16:27, 2F
更多 drkkimo 的文章
文章代碼(AID): #14oGX-J_ (Database)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 11 之 11 篇):
排序: 最舊先 | 最新先 | 留言數
1
1
[SQL ] SQL Injection
TonyQ
18年前, 07/21
1
1
Re: [SQL ] SQL Injection
wctang
18年前, 07/23
在新視窗開啟完整討論串 (共11篇)
Database 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 drkkimo 的文章
文章代碼(AID): #14oGX-J_ (Database)