Re: [转载]查询语句中的字符串全部使用0x...的十六进制形式能否

水木社区手机版

主题:Re: [转载]查询语句中的字符串全部使用0x...的十六进制形式能否
楼主|dhcn|2014-03-09 09:31:32|只看此ID
常规方案：参数化查询
【在 aloser 的大作中提到: 】
: sql注入
: select * from table where name = 'zhangsan'
: 改成select * from table where name = 0x7A68616E6773616E，
: ...................
--
FROM 111.199.17.*
1楼|Coooold|2014-03-09 09:31:48|只看此ID
这个基本安全，有人这么用

【在 aloser (aloser) 的大作中提到: 】
: sql注入
: select * from table where name = 'zhangsan'
: 改成select * from table where name = 0x7A68616E6773616E，
: ...................
--
修改:Coooold FROM 221.220.101.*
FROM 221.220.101.*
2楼|downey|2014-03-09 10:57:57|只看此ID
第一个语句怎么注入sql呢？
--
FROM 122.240.252.*
3楼|wwdong|2014-03-09 11:56:06|只看此ID
问题是这是脱裤子放P。ESCAPE一下就行了。之所以会被注入完全是因为忘了或者不知道
ESCAPE。既然都知道转16进制了，那还会忘ESCAPE么？忘ESCAPE的也会忘转16禁止。

【在 aloser (aloser) 的大作中提到: 】
: sql注入
: select * from table where name = 'zhangsan'
: 改成select * from table where name = 0x7A68616E6773616E，
: ...................
--
FROM 221.130.23.*
4楼|dhcn|2014-03-09 13:50:06|只看此ID
去年的互联网安全大会上，OWASP的一个骨干演示ESAPI JEE中的encodeForSQL出了情况。
公司搞安全审计的时候，我给同事推荐这个,对方因为实施复杂而放弃.
【在 wwdong 的大作中提到: 】
: 问题是这是脱裤子放P。ESCAPE一下就行了。之所以会被注入完全是因为忘了或者不知道
: ESCAPE。既然都知道转16进制了，那还会忘ESCAPE么？忘ESCAPE的也会忘转16禁止。
:
: ...................
--
修改:dhcn FROM 125.33.88.*
FROM 125.33.77.*
5楼|aloser|2014-03-09 15:58:34|只看此ID
什么是ESCAPE？
【在 wwdong 的大作中提到: 】
: 问题是这是脱裤子放P。ESCAPE一下就行了。之所以会被注入完全是因为忘了或者不知道
: ESCAPE。既然都知道转16进制了，那还会忘ESCAPE么？忘ESCAPE的也会忘转16禁止。
:
: ...................
--
FROM 101.80.137.*