SQL 是否可以通过复选框之类的输入来执行注入?
Can SQL injection be performed through an input like checkbox?
SQL 注入可以通过像旧 Mysql API 中的复选框这样的输入来执行吗?如何?
也许这是一个愚蠢的问题,但我不知道这是否可能。
100% 是的。这一切都取决于您的服务器端实现。当您将数据发送到服务器时,您应该执行输入验证。对于复选框,它是一个布尔值。您应该只接受 true 或 false、0 或 1、checked 等值。如果发送到服务器的数据具有以下值不符合应丢弃的预期值,或者更好的是应记录发送它的 IP,因为这很可能是对服务器的黑客攻击。
使用 fiddler、CURL 或浏览器(以及浏览器的开发控制台)等工具,您可以轻松地将任何值传递给表示该复选框的字段,因此,输入验证是服务器端的关键。
是的。复选框的值属性可以在 Web Inspector 中编辑,或者有人可以通过代码提交到 URL。它只是发送文本。
SQL 注入可以通过像旧 Mysql API 中的复选框这样的输入来执行吗?如何? 也许这是一个愚蠢的问题,但我不知道这是否可能。
100% 是的。这一切都取决于您的服务器端实现。当您将数据发送到服务器时,您应该执行输入验证。对于复选框,它是一个布尔值。您应该只接受 true 或 false、0 或 1、checked 等值。如果发送到服务器的数据具有以下值不符合应丢弃的预期值,或者更好的是应记录发送它的 IP,因为这很可能是对服务器的黑客攻击。
使用 fiddler、CURL 或浏览器(以及浏览器的开发控制台)等工具,您可以轻松地将任何值传递给表示该复选框的字段,因此,输入验证是服务器端的关键。
是的。复选框的值属性可以在 Web Inspector 中编辑,或者有人可以通过代码提交到 URL。它只是发送文本。