能伪造DropDownList的值做提交,然后在代码里得到这个伪造值么?
比如现在有个页,页里放个DropDownList,后台提交时做个数据库操作 db.ExecuteSql(.... where ID in ('"+ dropdownlistp.SelectedValue +"')),这种能做注入么? 如果能怎么做?
为什么不用占位符的方式呢?那样不就不会有这问题了吗
想办法拼出类似
where ID in (' '); delete * from xxxx; select (' ')
的语句。 粗体部分就是你要注入的字符串的值
SQL注入一般是针对那些拼装SQL语句的项目
比如执行的代码为 select * from test where 1=1 在where 后面拼装 -- 这样就是一个注释了,这是最简单的用法