|
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2005-10-27
其实楼住所说的应该就是 SQL注入 漏洞吧.
在写入数据库的时候用 PreparedStatment 就不会出现这种情况了. |
| 返回顶楼 | |
|
发表时间:2005-10-31
通常是通过?或者:ParameterName这种带参数来做查询比较完全
如果是输入内容特殊字符限制等(不能是数字或只能是字母等), 建议使用JAVASCRIPT检查 |
| 返回顶楼 | |
|
发表时间:2005-11-01
samwen 写道 通常是通过?或者:ParameterName这种带参数来做查询比较完全
如果是输入内容特殊字符限制等(不能是数字或只能是字母等), 建议使用JAVASCRIPT检查 永远不要相信客户端。 你js写得再怎么漂亮,大不了我禁用js。实在不行,只要有心的话,找个HttpClient,或者是比较原始的自己写socket来实现,想怎么玩你就怎么玩你了。 你再加上点花样,比如加上REFERER头的判断,在session中做一些token一样的东西,也无所谓,反正都是走http协议,我向你发数据的时候,读你的set-cookie中有用的信息,在下次请求的时候加上cookie:sessionid=xxxx之类的http,照样过关。 除非你每个表单提交,都弄个图形验证码一样的东西。 |
| 返回顶楼 | |
