A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

传智教育官网黑马程序员官网

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

论坛首页 隐藏归类 黑马那些年 第1届ASP.Net+Unity3D技术交流区 正文

关于SQL的注入攻击

© 李荣壮 黑马帝   /  2011-11-6 00:48  /  2914 人查看  /  5 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

本帖最后由 李荣壮 于 2011-11-6 00:49 编辑

杨老师讲 1' or '1'='1可以绕过验证,我试验的时候没有出现登陆成功的效果

后来发现,我在拼接字符串的时候用的是String.Format

String.Format  也可以达到与参数赋值同样的效果吗?

评分

参与人数 1技术分 +1 收起 理由
杨恩锋 + 1

查看全部评分

5 个回复

倒序浏览
郑文 黑马帝 2011-11-6 13:25:29
| 只看该作者
沙发
应该可以 你试一试。
回复 使用道具 举报
李荣壮 黑马帝 2011-11-6 21:43:12
| 只看该作者
藤椅
郑文 发表于 2011-11-6 13:25
应该可以 你试一试。

{:2_34:}就是因为我用了String.Format没绕过验证,所以才问的.....
回复 使用道具 举报
DotNet菜鸟 黑马帝 2011-11-7 09:45:18
| 只看该作者
板凳
应该是不可以的
String.Format("SELECT * FROM WHERE UserName='{0}'","1' OR '1'='1")其返回的的是
SELECT * FROM WHERE UserName='1' OR '1'='1'是可以绕过的啊

评分

参与人数 1技术分 +1 收起 理由
杨恩锋 + 1

查看全部评分

回复 使用道具 举报
李荣壮 黑马帝 2011-11-7 19:00:17
| 只看该作者
报纸
DotNet菜鸟 发表于 2011-11-7 09:45
应该是不可以的
String.Format("SELECT * FROM WHERE UserName='{0}'","1' OR '1'='1")其返回的的是
SELECT ...

关键是我没绕过去....你试试
回复 使用道具 举报
李荣壮 黑马帝 2011-11-7 19:01:52
| 只看该作者
地板
DotNet菜鸟 发表于 2011-11-7 09:45
应该是不可以的
String.Format("SELECT * FROM WHERE UserName='{0}'","1' OR '1'='1")其返回的的是
SELECT ...

关键是我没绕过去....你试试
回复 使用道具 举报
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入黑马