2

私のウェブサイトをテストしているときに、次のクエリをさらに変更することで、ユーザーがデータベースからデータを取得できる方法があるかどうか疑問に思っていました

SELECT * FROM users WHERE login='admin' AND password='1' OR '1'='1';

彼がユーザー名を知っていて、パスワードにadmin使用'1'='1'してハッキングした場合。

パスワードを画面に表示したり、テーブルの詳細を見つけたりするために、他に何を追加できますか?

SQLSQL インジェクションに関する私のプレゼンテーションで、保護されていないことが害を及ぼす可能性がある限界を理解するために、これを行いたいと考えています。

4

5 に答える 5

1

ユーザー名とパスワード ボックスへのフォーム インジェクションは次のようにする必要があります。

于 2015-04-08T08:55:47.470 に答える
0

SQL インジェクションから身を守る最善の方法の 1 つは、Statementの代わりにPreparedStatementを使用することです。

于 2013-07-20T15:07:14.373 に答える