可以通过像复选框这样的输入执行SQL注入吗?

时间:2016-04-24 21:16:02

标签: mysql sql-injection

可以通过旧Mysql API中的复选框等输入执行SQL注入吗? 也许这是一个愚蠢的问题,但我不知道它是否可能。

2 个答案:

答案 0 :(得分:4)

100%是的。这一切都归结为您的服务器端实现。当您将数据发送到服务器时,您应该执行输入验证。在复选框的情况下,它是一个布尔值。您应该只接受truefalse01checked等值。如果发送到服务器的数据的值为并不对应应该被抛弃的预期值,或者甚至更好地记录发送它的IP,因为这很可能是企图破解您的服务器。

使用fiddler,CURL或浏览器(以及浏览器的devconsole)等工具,您可以轻松地将任何值传递到代表该复选框的字段,因此,输入验证在服务器端是关键。

答案 1 :(得分:2)

是。复选框的value属性可以在Web Inspector中编辑,或者有人可以通过代码提交到URL。它只是发送文本。