Cookie による SQL インジェクションに対して脆弱な Web サイトがあります。私はこれらのクッキーを持っています: user, pwd. user の値を に設定するとrandomnameuser'#、認証制御をスキップできます。
XAMPPを使用して同じサイトをローカルで実行しようとしているサイトをテストするには、オンラインのサイトで使用されているのと同じ文字列を使用してSQLインジェクションでCookieをローカルで攻撃できないことが問題です。
私は何も変更していません。
1432 次
2 に答える
0
これは、ローカル環境の設定がサーバーの設定と異なることを意味します。結果のクエリを比較すると、違いがわかります。
単純なエスケープの問題である必要があります-値をクエリで使用する前にサニタイズしてください。
于 2013-10-05T09:28:59.447 に答える
-3
質問本文を読まなくても
「Cookie への SQL インジェクション」のようなものはありません。
データソースはインジェクションとはまったく関係ありません
重要なのは宛先です。必要なのは、常にクエリを適切にフォーマットすることだけです。
適切にフォーマットされたクエリの場合、インジェクションは不可能です
データ ソースが Cookie であるか、JSON リクエストであるか、またはその他のものであるかは関係ありません。
それを知っていれば、「どうしてそれが可能なのか?」という質問に簡単に答えることができます:クエリを適切にフォーマットしていません。クエリの実行には準備済みステートメントを使用する必要があります。これにより、安全性が保証されます (ただし、最も一般的で単純な場合のみ)。
余談ですが、プレーンな ext の Cookie にパスワードを保存することも非常に安全ではありません。代わりに、強力なソルト付きハッシュを保存する必要があります。
于 2013-10-05T09:25:13.667 に答える