none
是否被注入了? RRS feed

  • 问题

  • 我用profiler跟踪到:

    select * from [Update users Set password='' Where user_id=]

    select * from [Update logs_5 Set off_time = NULL Where log_id =  And user_id=]

    类似这样的sql,"[]"中间的是我线上跑的sql,外面给人套了"select * from []",这个是否是被注入了?

    2013年5月23日 5:51

答案

全部回复

  • LZ可以自己测试一下,你的系统哪些地方可以把这些参数传入到sqlserver,如果可以传入,那么需要在程序里判断参数的正确性,最好能用存储过程的就用存储过程

    给我写信: QQ我:点击这里给我发消息

    2013年5月23日 8:57
  • 既然你可以用Profiler看到这些语句那么也是可以找到运行这些语句的应用程序和Client端地址,查一下就知道了。一般的注入是注释掉你的语句,然后执行其他语句从而对数据库造成伤害。


    Please Mark As Answer if it is helpful.

    2013年5月24日 1:26