摘要:
一、数字。如何注入?假设我们要实现一个显示新闻的页面,我们可能会随手写下下面的代码:stringid=Request.QueryString["id"];stringsql="select*fromnewswhereColID="+id;如果传递过来的 id是我们想像的 数字(比如168),那么自然不会有什么问题。但是如果传递过来的id是“168 delete from table ”的话,那么sql的值就变成了“select * from table where ColID=168 delete from news”。对于SQL Server来说是支持 阅读全文
posted @ 2012-02-02 10:29 X龙 阅读(232) 评论(0) 推荐(0) 编辑