我正在执行SQL注入测试,其中将表单值直接插入到表中,但是它具有对表单值的GUID格式检查,如下所示:
“向导应包含32个数字和4个破折号(xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)。”
有没有可以绕过它的攻击?
答案 0 :(得分:1)
如果应用程序使用[GUID Parse在服务器上进行REAL验证,您将没有解决方案。
答案 1 :(得分:-1)
您应该只使用参数化查询。
伪代码:
sql = "SELECT ... FROM MyTable WHERE guid = ?"
prepare(sql)
execute(guid_value)
然后,您不必浪费时间去思考是否有一个晦涩的案件可以绕过您的支票。