午夜剧场伦理_日本一道高清_国产又黄又硬_91黄色网战_女同久久另类69精品国产_妹妹的朋友在线

您的位置:首頁技術(shù)文章
文章詳情頁

mysql - 看這條sql有可能被注入嗎

瀏覽:234日期:2022-06-20 14:00:12

問題描述

SELECT * FROM table1 where condition1=1 ORDER BY $sortField$ $sortOrder$ limit 0,20

$sortField$和$sortOrder$可以寫任意sql

這條sql有被注入的風(fēng)險嗎

問題解答

回答1:

只要你直接用變量來生成sql語句,都有被注入的風(fēng)險

SELECT * FROM table1 where condition1=1 ORDER BY $sortField$ $sortOrder$ limit 0,20

sortField='id'sortOrder='; drop table users; --'

你的sql就會變成

SELECT * FROM table1 where condition1=1 ORDER BY id; drop table users; -- limit 0,20回答2:

你考慮問題的方向不正確。

防注入的正確做法是使用官方驅(qū)動的參數(shù)模式,因為只有官方自己的東西,才知道應(yīng)該怎樣避免被注入。

如果你自己寫SQL,就算現(xiàn)在不被注入,說不定這條鏈路中所涉及的組件,在以后其中某個組件發(fā)生變化,那就會有被注入的風(fēng)險。

回答3:

你直接可以拿sqlmap測試一下,它的引擎還是很強大的

相關(guān)文章:
主站蜘蛛池模板: 天天爱天天干天天操 | 欧美高清精品 | 亚洲色图综合网 | 日韩av有码 | 国产原创视频在线观看 | 毛片啪啪| 中文字幕资源在线 | 九九精品影院 | 黄色一极毛片 | 视频大全在线观看网址 | 中文字幕在线观看的网站 | 香蕉网av| 超碰加勒比 | 蜜桃91丨九色丨蝌蚪91桃色 | 成人在线三级 | 97福利视频 | 精品国产成人 | 成人综合色站 | 国产一区二区三区久久久 | 97午夜视频 | 综合一区在线 | 成人中文在线 | 天天人人精品 | 手机免费观看av | 国产福利网 | 久艹视频在线 | 成人国产精品一区二区 | a级黄色片免费看 | 欧洲精品一区二区 | 国产小视频在线观看 | 久久国产秒 | 香蕉在线视频观看 | 少妇综合 | 欧美一级淫片免费视频魅影视频 | 精品免费在线视频 | 欧美日本黄色 | 99色99| 日本在线免费视频 | 日韩免费精品 | 韩国演艺圈悲惨事件在线 | 国产精品最新 |