看板 [ Database ]
討論串[SQL ] SQL Injection
共 11 篇文章
內容預覽: 開啟 | 關閉 | 只限未讀
首頁
上一頁
1
2
3
下一頁
尾頁
#1
[SQL ] SQL Injection
推噓1(1推 0噓 0→)留言1則,0人參與, 最新作者TonyQ (骨頭)時間18年前 (2006/07/21 21:08), 編輯資訊
1
0
1
內容預覽:
我想討論的是就如同這篇文章所說的. http://www.microsoft.com/Taiwan/sql/SQL_Injection_G1.htm. 在網頁上有時候會碰到. 要直接抓使用者的語句. 比方說. Sql="select * from user where user='" + reque
(還有558個字)
#2
Re: [SQL ] SQL Injection
推噓0(0推 0噓 0→)留言0則,0人參與, 最新作者razor (=_=)時間18年前 (2006/07/21 23:01), 編輯資訊
1
0
0
內容預覽:
在未告知的情況下,把'去掉是不對的;. 通常容許使用者在輸入文字中可帶有'符號.. 為了避免'符號造成句子結構的破壞,會用到escape sequence,. 在許多程式語言都有這個要素,在ASP的VBScript字串中是使用''來表示'符號.. 而ResultSet或DataSet是另一種處理法,
#3
Re: [SQL ] SQL Injection
推噓0(0推 0噓 0→)留言0則,0人參與, 最新作者TonyQ (骨頭)時間18年前 (2006/07/21 23:15), 編輯資訊
1
0
0
內容預覽:
是的,不過一般而言,. 我會這麼處理的都是不應該會出現'這符號的欄位,. ex.帳號密碼..在撰寫的時候就要求它不能輸入',. 雖然這些可以用JavaScript作頁面上的過慮,. 但是難防從網址上直接帶過來的參數闖關。. 程式語言的部份這是我知道的. 我想問的是單就SQL語法而言裡面有沒有特別處理
(還有580個字)
#4
Re: [SQL ] SQL Injection
推噓0(0推 0噓 0→)留言0則,0人參與, 最新作者PsMonkey (痞子軍團團長)時間18年前 (2006/07/22 13:32), 編輯資訊
2
0
1
內容預覽:
通常需要擔心這種東西的. 大部分是帳號密碼之類的(當然其他的也不是不用顧慮啦). 簡單地說,這個時候用 POST 比較好. (絕大多數時候,POST 都比較好). 不過,這已經離開這個版的討論範圍了. 我記得標準 SQL 是用兩個 '' 來代表一個 '. 針對你的問題,我的做法是,在組 SQL 句子
(還有64個字)
#5
Re: [SQL ] SQL Injection
推噓0(0推 0噓 0→)留言0則,0人參與, 最新作者fumizuki (矇面加菲獅)時間18年前 (2006/07/22 20:37), 編輯資訊
0
0
0
內容預覽:
一般欄位都不該有符號和空格. `-=[];',./!@#$%^&*()~_+{}:"<>?. 應該在後端程式(ex:asp)自動消除或在前端禁止輸入(ex:javascript). 類似備忘的欄位,或是有特殊用途,才會允許輸入符號. 這種情形就使用逸位字元的方式來處理. 像sql server 中就
(還有64個字)
首頁
上一頁
1
2
3
下一頁
尾頁