0
我試圖從Java Applet傳遞SQL查詢字符串爲Servlet作爲參數。瀏覽器從請求參數中移除+
問題是,在小程序我有一些說:SQL = SELECT * FROM p其中(+ P = 1)
在Servlet生成的SQL參數是SQL = SELECT * FROM p其中(+ P = 1)。
因此,任何人都知道如何防止瀏覽器從參數中刪除+字符?
是否有轉義字符?
謝謝。
A
回答
3
不要這樣做。這是SQL注入的直接方式(例如,任何用戶都可以將DELETE請求插入get字符串並使服務器崩潰)
+0
是的,我知道......對此無能爲力。 Web應用程序是一個內聯網,所以這是一種解脫。 – Marquinio 2010-05-10 14:11:00
+0
我討厭成爲那些信息安全航天員類型之一,但實際情況是大多數對應用程序的攻擊都是內部的。儘管我的僱主非常棒(ahem),並且永遠不會在員工中引起反感(咳嗽咳嗽),但您的里程可能會有所不同。 – 2010-05-11 16:58:26
3
您可以使用java.net.URLEncoder來實現此目的。
param = URLEncoder.encode(param, "UTF-8");
這就是說,整個思路是漏水的,很容易攻擊。人們可以很容易地發現URL並手動發送一個DELETE FROM p給它。而是發送命令作爲參數,而不是完整的SQL查詢。保留並隱藏服務器端的SQL查詢。
相關問題
- 1. 如何從瀏覽器發送http刪除請求?
- 2. 從表單請求中刪除參數
- 3. 暫時從JMeter HTTP請求中移除參數
- 4. ajax在瀏覽器中導航請求
- 5. 在ASP.NET中檢測來自移動瀏覽器的請求
- 6. 從移動Safari瀏覽器
- 7. 從請求獲取用戶瀏覽器數據
- 8. 檢測移動瀏覽器發出請求調用
- 9. SpringMVC瀏覽器json請求驗證
- 10. 瀏覽器編碼HTTP請求
- 11. 如何模擬請求瀏覽器C#?
- 12. Http請求多瀏覽器麻煩
- 13. PHP:阻止瀏覽器請求
- 14. 類似javascript瀏覽器的GET請求
- 15. Netty HttpServer Chrome瀏覽器多個請求
- 16. Python的請求包比瀏覽器
- 17. 獲取瀏覽器的請求
- 18. 顯示網頁瀏覽器請求
- 19. 瀏覽器網址和HTTP請求
- 20. 跨站請求和瀏覽器插件
- 21. AngularJS $ http.post請求由Chrome瀏覽器
- 22. 同步Ajax請求「鎖定」瀏覽器
- 23. 使用.Net從瀏覽器中檢測請求的網站url?
- 24. 通過請求請求的HTML內容與瀏覽器不同
- 25. AJAX請求和常規瀏覽器請求之間的區別
- 26. 區分瀏覽器GUI請求和AJAX請求
- 27. 1.4mb數據在角度http請求中崩潰瀏覽器
- 28. 請建議一個庫在瀏覽器中模擬ajax請求
- 29. 從瀏覽器中刪除HTTP_COOKIE cookie
- 30. 從瀏覽器中刪除cookie?
JavaScript在哪裏起作用? – Pops 2010-05-10 14:22:55