我页面查询条件是dropdownlist中选择值,假如我拼接sql,能发生sql注入吗 是通过button提交的,不是通过url传递参数
2 回答
12345678_0001
TA贡献1802条经验 获得超5个赞
黑客的手段有时是令人瞠目结舌的,虽然乍看上去你的下拉选项是预定好的,不会发生用户代码注入,但谁知道下拉项会不会被篡改。为了绝对安全也罢,为了养成良好习惯也罢,建议兄弟还是保险起见统统用 SqlParameter 的形式加入参数。或许可以试验一下:有个可以脚本注入的漏洞,通过此漏洞更改下拉框的选项,然后通过提交下拉框的当前值完成 sql 注入。期待专家的解答,关注一下。
- 2 回答
- 0 关注
- 537 浏览
添加回答
举报
0/150
提交
取消