超前注入
超前注入
提问于 2014-05-14 16:37:46
是否有已知的漏洞,其中查询表单:
select foo from bar where id = 6可转化为:
select * from select foo from bar where id = random stuff很明显,格式错误的应用程序可以很容易地允许针对文本6所在的查询点进行注入。我手头有一个这样做的案例,但也有额外的"select * from“被插入在查询的前面,同时在末尾的文字受到攻击。我想知道这是否是一个通用的已知问题,或者是否存在以这种方式易受攻击的应用程序类。
回答 1
Security用户
发布于 2014-05-20 14:30:22
只有在客户端应用程序上才能完成。如果您在服务器端执行此操作,唯一危险的是XSS,这可以通过“准备”语句或使用PDO来防止。
验证表单中的内容(即使用PHP)也是一个很好的步骤,以禁止在不需要*, <, >, %等特殊字符的字段中使用它们。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/57969
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号