希望有大神能解答一下这个SQL注入问题
学了一点SQL注入,想找一个网站实战一下。。。
http://www.uyjsh.com/News/Detail.aspx?c=1139
然后找到一个没什么 防火墙的网站,可是出现这种状况还是第一次见,不知各路大神应该如何处理?
输出'出现异常。
于是可能会有注入点
然后输入 and 1=1
没想到and 1=1 和 and 1=2 输出结果都是一样。。。。
字符串错误,好吧也许这个参数字符型的
那我就试试字符串参数吧
但是字符串也不行,依然是和上面一样的异常。字符串错误。
现在有点不明白,究竟是为什么这样?
希望大神解释解释?
是他们用了参数化查询做了防御还是说这个参数根本没经过数据库?还是说应该使用'%%'这样的符号?还是有其他方法吗?
没过滤,但是他把string转换成int了,换言之就是你输入所有字符串都会转化成数字。 wuyan 发表于 2016-1-29 14:24
没过滤,但是他把string转换成int了,换言之就是你输入所有字符串都会转化成数字。 ...
我看见了。后来我自行看了一下异常输出,明白了。
行 23: BindData(Convert.ToInt32(Request["id"]),"1");
谢谢!
页:
[1]