测试Request.QueryString是否易受SQL注入攻击
本文关键字:SQL 注入 攻击 易受 是否 Request QueryString 测试 | 更新日期: 2023-09-27 18:26:51
如何针对SQL注入测试使用Request.QueryString.Get("ID")的页面。我尝试了一些基本的东西,比如www.myDomain/mySite.aspx?ID=1234'和www.myDomain/mySite.aspx?ID=1234',它们都不会引起任何意外。不过,我正在寻找一种明确的方法来测试漏洞。根据这篇帖子,我似乎已经实施了正确的机制来防止注射。除了网上文章,我没有实际经验测试这一点。
我正在使用两种防御机制,这似乎是相当常见的
1.)我有一个消毒功能,可以删除单撇号和"&"并在添加SQL命令之前对查询字符串进行一些格式化。
2.)我还使用了参数化语句,因此查询字符串将成为所执行命令的参数。我理解这会使整个过程更加安全,因为查询结构已经定义好了。
您的第二点应该绰绰有余。无论QueryString是如何传递的,您都不会受到SQL注入攻击。除非,否则SQL语句实际上是通过字符串串联动态构建查询的存储过程。在这种情况下,您可能会回到原点。