这个真不知该发在哪了，演示sql注入攻击和跨站点脚本攻击(XSS)

imut

点击进入

SQL注入攻击
  (SQL Injections)


跨站点脚本攻击(XSS)

法外制裁者

在n月前我还天真的以为SQL注入攻击是多么强大的东东



其实那只是利用程序员写JDBC的错误方法而已。

李白vs苏轼

金山网盾因为web UI的原因貌似这方面（xss）的漏洞还没修复

8月份的时候提过
他们说已经在修复中

但目前进展似乎没看到
希望尽快解决

360sandbox

在n月前我还天真的以为SQL注入攻击是多么强大的东东



其实那只是利用程序员写JDBC的错误方法而已。
法外制裁者 发表于 2010.10.5 14:38

SQL注入不强大？我笑了？真是懂得少搞笑得多，SQL注入可以让你这个斑竹从卡饭上消失，强不强大？

法外制裁者

SQL注入不强大？我笑了？真是懂得少搞笑得多，SQL注入可以让你这个斑竹从卡饭上消失，强不强大？
360sandbox 发表于 2010.10.5 15:29

正确的JDBC写法SQL注入攻击根本无效，程序员连最基本的特殊字符都不考虑，要么就是刚毕业没有工作经验的，要么就是混了n年也没长进的人。
当然，如果你能在PreparedStatement里注入，那么我承认SQL注入还是很强大的，要么你给个能注入PreparedStatement的？

360sandbox

正确的JDBC写法SQL注入攻击根本无效，程序员连最基本的特殊字符都不考虑，要么就是刚毕业没有工作经验 ...
法外制裁者 发表于 2010.10.5 15:43

DZ的作者算不是刚毕业没有工作经验或者混了N年没长进的人呢？刚了解点皮毛就出来显眼，真是搞笑。

法外制裁者

DZ的作者算不是刚毕业没有工作经验或者混了N年没长进的人呢？刚了解点皮毛就出来显眼，真是搞笑。
360sandbox 发表于 2010.10.5 16:01

那就是说你没有能够注入PreparedStatement的咯，那SQL注入攻击也不过如此嘛。那说明我写出来的东东不会被SQL注入攻击的！
您这样说我就有点不好意思了，我写的比DZ作者还好？我都觉得不太可能啦，乃就别抬举我了。

hu3167343

在n月前我还天真的以为SQL注入攻击是多么强大的东东
其实那只是利用程序员写JDBC的错误方法而已。
法外制裁者 发表于 2010.10.5 14:38

确实无语，并不是每个人都是用jsp写网站的。

antiall

回复 8楼 hu3167343  的帖子


注入跟jsp没有必然的关系
asp aspx php都有

antiall

注入有什么好看的
就是没过滤传递的参数
导致恶意代码被放入sql语句进而操作数据库
演示的那个单引号也就是闭合了原sql语句的单引号而已
没什么意思