如果 ' " \ 被过滤, sql 注入会起作用吗
Will sql injection works if ' " \ are filtered
我正在研究安全和道德黑客。而且我注意到大多数 sql 注入攻击都使用 " ' \ 如果我过滤这些,它会起作用吗?
大多数 SQL 注入示例使用 ;DROP TABLE students 有效载荷,这在许多软件设置中都不是。这只是一个例子。
您犯了一个很常见的错误,将注入(可能 将不需要的代码注入 SQL 查询)与利用(实际有效负载 将被注入以侵入系统)。
这是完全不同的两件事。
所以,注射只是一种可能。它与 any 个字符无关。一旦存在注入,就会有无限数量的漏洞利用,这一切都取决于具体情况。其中一些只需要 ' 和 \ 符号,而另一些则需要它们。
您可以从以上陈述中得出什么结论? 一个人应该防止注射,而不是利用。 战斗角色是一场失败的游戏。与可能性作斗争。
一旦一个应用程序没有受到注入保护,它就会被黑客攻击,利用一个或另一个,使用一个或另一个字符。但是一旦它受到保护,它就会立即免受所有攻击,无论使用哪个角色。
我正在研究安全和道德黑客。而且我注意到大多数 sql 注入攻击都使用 " ' \ 如果我过滤这些,它会起作用吗?
大多数 SQL 注入示例使用 ;DROP TABLE students 有效载荷,这在许多软件设置中都不是。这只是一个例子。
您犯了一个很常见的错误,将注入(可能 将不需要的代码注入 SQL 查询)与利用(实际有效负载 将被注入以侵入系统)。
这是完全不同的两件事。
所以,注射只是一种可能。它与 any 个字符无关。一旦存在注入,就会有无限数量的漏洞利用,这一切都取决于具体情况。其中一些只需要 ' 和 \ 符号,而另一些则需要它们。
您可以从以上陈述中得出什么结论? 一个人应该防止注射,而不是利用。 战斗角色是一场失败的游戏。与可能性作斗争。
一旦一个应用程序没有受到注入保护,它就会被黑客攻击,利用一个或另一个,使用一个或另一个字符。但是一旦它受到保护,它就会立即免受所有攻击,无论使用哪个角色。