Try
lblId.Text = CType(Trim(Request.QueryString("id")), Integer)
Catch ex As Exception
Response.Write("<script>window.location.href='Default.aspx'</script>")
Exit Sub
End Try
Dim dr As SqlClient.SqlDataReader
conn.GetDr("select * from Info where id=" & lblId.Text & "", dr)
If dr.Read() Then
lblTitle.Text = dr.Item("title")
lblContent.Text = dr.Item("content")
End If
页面浏览方式:www.xxx.com/Info.aspx?id=1我就不明白了 这样将id强制转换成数字 还能存在注入??谁能帮忙给讲讲 最好告诉我这样怎么注入 谢谢了
lblId.Text = CType(Trim(Request.QueryString("id")), Integer)
Catch ex As Exception
Response.Write("<script>window.location.href='Default.aspx'</script>")
Exit Sub
End Try
Dim dr As SqlClient.SqlDataReader
conn.GetDr("select * from Info where id=" & lblId.Text & "", dr)
If dr.Read() Then
lblTitle.Text = dr.Item("title")
lblContent.Text = dr.Item("content")
End If
页面浏览方式:www.xxx.com/Info.aspx?id=1我就不明白了 这样将id强制转换成数字 还能存在注入??谁能帮忙给讲讲 最好告诉我这样怎么注入 谢谢了
password = request("password") //获取密码 也是通过URL传值获取的
sql="select * from userlist where username = '" & username & "' and password = '" & password & "'" // 这边是拼接SQL字符串 ;之所会
//有注入问题 ,就是因为拼接的方式;如果你用参数的形式,就不会有注问
//题. admin 密码应该这样写: ' 随便 or 1=1 ' (随便指你随便输点东西就可以)
后面解释了 怎么混过验证 还有更严重的情况,对方可以直接拼接删除库的SQL语句,直接把你的数据库给你干掉
因此在写此类SQL语句时,建议采用参数的方式
我该怎么办?直接去问告诉我的人?请大家帮助一下 谢谢了
我觉得这样是不会被注入的,他是否利用其它入口进行的注入?我也遇到同样情况
我去年发布了一个网站,几乎全ajax,找工作时一位面试官说我的网站有漏洞,说被他sql注入了,让我回去看
但其实不然,他只是向服务器发送了伪造的请求,并成功得到回应,我想这个不应该叫sql注入吧建议先搞清楚具体情况!!