特定の sql 行をブラウザのアドレス バーに入力するだけで、Web サイトの sql データベースにアクセスできることがわかりました。アドレスバーは私たちをウェブサイトにリダイレクトするだけではいけませんか? そのアドレス バーはどのように SQL 構文を受け入れることができますか? 私はブラウザ自体についてはまったくの素人ですが、アドレス バーが脆弱性を提供することに魅力を感じます。
4202 次
3 に答える
4
これはどのように可能ですか?
アプリケーションは、URL から読み取った任意の SQL を実行しています。考えてみてくださいhttp://example.com/search.php?query=SELECT%20...。
アドレスバーは私たちをウェブサイトにリダイレクトするだけではいけませんか?
それはまさにそれがしていることです。脆弱性は、Web サイトによるその URL の処理にあります。
そのアドレス バーはどのように SQL 構文を受け入れることができますか?
SQL クエリは、URL の一部である単なるテキストです。アドレス バーは、URL に SQL が含まれていることを認識 (または気に) しません。
于 2013-08-16T20:43:23.527 に答える
1
この質問への答えを善のために使うつもりですか、それとも悪のために使うつもりですか?
いずれにせよ、フォームにURLがあると仮定します
http://mysite.com/dosomething?email= $EMAIL
そして、次のようなクエリを実行するコードがいくつかあります。
SELECT fieldlist
FROM table
WHERE field = '$EMAIL';
次に、このページでは、だれかが EMAIL の内容を操作して本質的に任意のクエリを実行する方法について説明します。
于 2013-08-16T20:40:09.697 に答える