1樓:
1、關鍵字替換。
如:%,替換成 _%
如輸入 :%123=
替換成 _%123=
2 、檢索。
where ..and name like str(被替換過的字元) escape('_
解決,關鍵字替換。
3、建議,不要寫sql時,把 前臺使用者 輸入的 內容,直接拿到 sql作為引數。
在後再這樣寫sql,是不好的。
where ..and column = str(使用者輸入的內容)
如果,使用者輸入的是 ' or 1=1 ,或 ''or 1=1 , 形式很多,不對可以試的)
sql成了 where ..and column = or 1=1
就,死定了 1=1 ,永遠為真,什麼都可以檢索到啦。
避免這些,可以動態的傳入引數,或在前臺做check什麼的。
在查查,用access ,有防注入攻擊。
具體的,我用的是oracle,我知道怎麼辦,access沒用過,應該有避免注入攻擊的sql寫法的。
那個**,貼出來。讓我上去注注,哈哈。
2樓:匿名使用者
找到注入點,儘量用引數傳值。
3樓:天馬行空
在使用者名稱和密碼輸入時過濾關鍵字,如;'《等。
4樓:匿名使用者
在資料庫語句進行操作前還應該做輸入的檢查。
比如說;'《等。
5樓:匿名使用者
把注入點找到,然後修復就好。
OSPF如何注入靜態路由,求解,注入後還能不能通訊步驟是什麼 謝謝
應該是諸如預設路由吧?1 先在全域性下寫一條指向外網的預設靜態路由,然後進入ospf協議中,使用default information origi 命令就能把預設靜態路由引入到ospf中了。注入後當然能通訊了,就是為了方便內網對外網的訪問才設計的這種技術。2 若是重分發靜態的話,就是在ospf中使用...
sql 查詢 求助,sql查詢問題
select from select linkt from t1 where key a where 其它限制條件。這句其實沒有語法錯誤。是個巢狀查詢 但是卻得不到你想要的結果。select from 這裡可以是表名,檢視,也可以是記錄集。而 select linkt from t1 where k...
SQL語句,一個SQL語句
1 首先查詢出tab2中的nameid值。2 寫個有參的函式,把上面的返回值取到賦給這個函式的引數,然後寫個sql進行查詢 select from tab1 where id in 引數也可以直接寫返回值 因為1查詢出的值就是逗號隔開的,所以直接in 返回值 就可以了。你的意思是返回一條資料,年齡和...