如果用户的输入不加修改就插入到SQL查询里,这个应用程序会容易受到SQL注入,就像下面这样:$unsafe_variable=$_POST['user_input'];mysql_query("INSERTINTO`table`(`column`)VALUES('$unsafe_variable')...
分类:
数据库 时间:
2015-07-12 23:18:40
阅读次数:
187
jdbc防止sql注入
jdbc防止sql注入-PreparedStatement
public List getUserByName(String name,String password){
ResultSet rs = null;
PreparedStatement stat = null;
Conn...
分类:
数据库 时间:
2015-07-12 11:14:59
阅读次数:
220
参考资料:http://security.alibaba.com/blog/blog.htm?id=21在北京折腾了几天,总算安顿下来,也入职了~~趁着入职前两天不太忙,把之前欠下来的这个POC补了一下~~0x00 起这个漏洞总体说来,和二次SQL注入漏洞的成因差不多。由后台的某一个点插入到数据库中...
分类:
其他好文 时间:
2015-07-11 21:18:21
阅读次数:
117
在JDBC简单封装的基础上实现public class UserDao{ public static void testGetUser(String userName) throws Exception{ Connection conn=null; PreparedStatement ...
分类:
数据库 时间:
2015-07-11 11:59:30
阅读次数:
152
jdbc防止sql注入
jdbc防止sql注入-PreparedStatement
public List getUserByName(String name,String password){
ResultSet rs = null;
PreparedStatement stat = null;
Conn...
分类:
数据库 时间:
2015-07-11 09:06:42
阅读次数:
181
今天把《图解HTTP》看完了,本以为知道怎么编程了,但还是一头雾水,就是知道什么是HTTP协议,以及各种升级版。另外在网络安全方面的知识也见长了,知道了各种攻击,如SQL注入攻击、OS注入攻击、会话劫持等...
分类:
其他好文 时间:
2015-07-09 01:03:56
阅读次数:
94
http://drops.wooyun.org/tips/9680x00 前言笔者前几天在做测试时输入攻击向量后页面发生了重定向甚至异常输入也是重定向怀疑其中有WAF在作怪。之前对WAF接触比较少纯粹是新手趁此科普了一下并查阅了一些绕过WAF的方法。所找到的资料中主要分为两类SQL注入和XSS绕过笔...
分类:
数据库 时间:
2015-07-08 10:53:57
阅读次数:
163
攻击者把SQL命令插入到Web表单的输入域,或者页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这种表单很容易受到攻击。【防范方法】——替换单引号。——删除所有连字符。——对执行查询的数据库账户,限...
分类:
数据库 时间:
2015-07-07 10:51:14
阅读次数:
194
测试人员相对于开发人员来说,对知识的广度要求更高。1:下面所描述的属于安全漏洞方面的有哪些?()A.SQL注入问题B.跨站脚本(XSS)C.不安全的加密存储,比如CSDN网站的用户密码是明文密码D.网站访问缓慢2:关于Loadrunner下列说法正确的是()A.web_reg_save_param最常用來做关..
分类:
其他好文 时间:
2015-07-06 20:10:42
阅读次数:
172
测试人员相对于开发人员来说,对知识的广度要求更高。
1:下面所描述的属于安全漏洞方面的有哪些?()
A.SQL注入问题
B.跨站脚本(XSS)
C.不安全的加密存储,比如CSDN网站的用户密码是明文密码
D.网站访问缓慢
2:关于Loadrunner下列说法正确的是()
A.web_reg_save_param最常用來做关联的函数
B. 函数lr_save_...
分类:
其他好文 时间:
2015-07-06 14:16:04
阅读次数:
250
