那个问题还没结束,ACCESS只能单句SQL
原帖:
http://topic.csdn.net/u/20090925/23/4611c916-41a1-42bc-9f10-f7dd86ab3ded.html
既然ACCESS只支持单句SQL查询,那么我那个程序是不是就没什么漏洞?
CityBird回复说:
sql="Select * from admins where admin_user='"&request("admin_user")&"'"
这里有注入攻击漏洞,如果在admin_password中输入"' update admins set admin_password='' --"
将可能导致你admins表里所有记录的admin_password字段的内容被更新为空字符串。
我用的ACCESS数据库,这个联合查询根本就执行不了。对不对 ?
那么我的程序还有漏洞吗? 还会被怎样利用 ?
不过滤:request("admin_user")就存在SQL注入的危险!跟ACCESS只支持单句SQL查询没关系!
建议,数据在插入或检索之前,编写一个函数进行判断。
如是否包含:update、insert、select、*等字符。。。
对参数进行下过滤就好了。用得着这样么.....
一般情况下,需要你对-喝;进行过滤就OK。但是最好的办法是闲置某些字段的长度。
再有就是多使用春初过程,这样,注入的问题多少回解决了。
最根本的方法是对自己写的搜有的提交字段进行过滤处理。script和sql注入都非常危险的说。
一个是注射,但这样的注射没必要利用
二是万能密码,直接就进后台了,所以“注射没必要利用”
ding
相关问答:
本来我是用ACCESS+VB建立一个软件(局域网),现在由于办公地点有变动,相换成INTERNAT的,有没有办法解决,
象这样的情况,如果是广域网,最好改成:B\S的
如果是局域网的,最好改成:C\S的
http://downlo ......
哪里出错了,输出这样的结果??
<%@ Page Language="VB" AutoEventWireup="false" aspcompat="true" CodeFile="Default.aspx.vb" Inherits="_Default" %&g ......
如题在我打开access修改的时候报错
我装的Ghost 的XP版 sp3的补丁
错误签名
AppName: msaccess.exe AppVer: 11.0.8166.0 AppStamp:46437912
ModName: pintlgnt.ime&n ......
access 已禁用此数据库中可能有害的内容 vba
我用access打开这个数据库提示禁用了这个
如果我选择启用 就能更新了
如何在程序中打开数据库也启用这个呢?
OleDbConnection conn = new OleDb ......
C# code:
Select Scope_Identity()就可以获取到了,要跟insert语句在一起. ACCESS sql 都是一样的用
//C#
string query = "Insert Into Categories (CategoryName) Values (@CategoryName);" +
&q ......
