我知道许多人都提出过这个问题,但遗憾的是我找不到适合自己问题的答案。
在我阅读的有关SQL注入的所有文章中,他们都谈到了这样的URL http://www.example.com/member.php?id=1 以及如何使用(')来检查我的网站是否容易受到SQL注入攻击。
就我而言,我的网站是这样的: http://www.example.com/Login.php 你可以看到我没有?id = 1,我该怎么做才能测试我的网站?
谢谢
答案 0 :(得分:4)
通过使用查询的硬编码变量部分,您很容易受到SQL注入攻击。换句话说,使用命名参数会阻止这种情况。
如果你只是盲目地接受字符串并将注入它们放入你的查询中而没有参数或卫生,你基本上允许公共人员(即潜在的坏人)直接访问你的数据库编写SQL代码。 / p>
SQL注入是一个难以适应SO答案的主题,所以我强烈推荐Wikipedia article on SQL Injection。
答案 1 :(得分:0)
SQL注入是将SQL查询直接注入到您的网站预配置代码中的能力。这可以通过简单的';'来完成添加符号以附加您的代码,但绝不限于此。
要检查您的网站是否有XSS,最好的办法是验证在针对您的数据库运行之前是否已验证从网页获取的所有输入。例如,这意味着在您的应用程序代码中,您将验证网站上的帖子按钮是否仅包含您期望的参数,仅此而已。现场验证和限制是您试图限制的主要漏洞。
请勿将您的网页用作验证工具。希望利用XSS的黑客不一定会使用您的页面来执行此操作。这意味着您的业务逻辑需要进行评估。
答案 2 :(得分:0)
如果接受用户输入并使用SQL,则易受SQL注入攻击。是否有足够的保护自己免受SQL注入是另一个问题。