我有一个应用,用户名字段会使用integer.parseint将任何给定值转换为整数值。该应用程序使用JSP和Oracle数据库。
网址已经过SQLMap测试,并且不是动态的。所以,我可以尝试的唯一方法是通过登录表单,但我无法绕过它。
当我提出'或1=1时,服务器返回错误error for input string。
我想注入该字段,那么,怎么做呢?
我不知道是否可以使用备用编码,因为无论如何它都会将其转换为整数。
答案 0 :(得分:4)
无法完成。
如果该值被解析为整数,则它不再包含任何有害代码。