可以通过旧Mysql API中的复选框等输入执行SQL注入吗? 也许这是一个愚蠢的问题,但我不知道它是否可能。
答案 0 :(得分:4)
100%是的。这一切都归结为您的服务器端实现。当您将数据发送到服务器时,您应该执行输入验证。在复选框的情况下,它是一个布尔值。您应该只接受true
或false
,0
或1
,checked
等值。如果发送到服务器的数据的值为并不对应应该被抛弃的预期值,或者甚至更好地记录发送它的IP,因为这很可能是企图破解您的服务器。
使用fiddler,CURL或浏览器(以及浏览器的devconsole)等工具,您可以轻松地将任何值传递到代表该复选框的字段,因此,输入验证在服务器端是关键。
答案 1 :(得分:2)
是。复选框的value属性可以在Web Inspector中编辑,或者有人可以通过代码提交到URL。它只是发送文本。