查询字符串中哪些字符不安全?
在查询字符串中,以下字符被认为是安全或不安全的:
- 等号(=)
在查询字符串中,等号(=)通常用于赋值,例如:
SELECT * FROM table_name = value在这种情况下,等号后面的值是传递给查询语句的参数。如果等号用于赋值,则该值应该是经过验证的,或者在安全上下文中可信的。
- 逗号(,)
在查询字符串中,逗号(,)通常用于分隔字段和参数,例如:
SELECT column1, column2, @variable
FROM table_name在这种情况下,逗号后面的字段和参数是查询语句的参数。如果逗号用于分隔字段和参数,则该值应该是经过验证的,或者在安全上下文中可信的。
- 括号(())
在查询字符串中,括号(())通常用于定义查询语句的格式,例如:
SELECT * FROM table_name WHERE column_name IN (value1, value2, ...)在这种情况下,括号内的值是查询语句的参数。如果括号用于定义查询语句的格式,则该值应该是经过验证的,或者在安全上下文中可信的。
- 加号(+)
在查询字符串中,加号(+)通常用于连接多个值,例如:
SELECT * FROM table_name WHERE column_name LIKE 'value1+value2+value3'在这种情况下,加号后面的值是查询语句的参数。如果加号用于连接多个值,则该值应该是经过验证的,或者在安全上下文中可信的。
需要注意的是,在查询字符串中,除了等号(=)和逗号(,)之外,其他字符都应该被转义,以避免注入攻击。因此,在查询字符串中,不应该使用加号(+)、减号(-)、下划线()、斜杠(/)等字符,而应该使用其他字符进行转义。例如,可以使用 %、`、` 等字符进行转义。
相关·内容
4回答
我需要防止导致URL中漏洞的字符。请给出我需要阻止的字符列表。我只想列出一些字符,以避免黑客在URL中输入不必要的字符串。
浏览 7提问于2009-04-07得票数 8
回答已采纳
<link rel="canonical" href="/thisisa&quot;/helloworld/" />为了澄清,我得到了表单提交,我需要将部分查询字符串转换为URL。这些步骤是:
吐回表单的
浏览 7提问于2009-10-09得票数 4
回答已采纳
1回答
我正在编写一个程序,它需要逐步构建一个格式化的字符串,作为最后阶段打印出来。字符串包括在形成字符串时收集的数字。因此,我需要向输出字符串中添加格式化的字符串片段。一种直接的方法是对包含格式化片段的临时字符串使用sprintf(),然后使用strcat()将其连接到输出字符串,如中所示。一种更复杂的方法是在添加新片段时将sprintf()指向当前输出字符串的末尾。这是演示的。
如果在
浏览 3提问于2014-12-11得票数 1
回答已采纳
我限制我的客户输入某些字符。现在我允许:
在通过使用文本框进行编程进行查询时,还存在哪些其他安全字符和/或不安全字符?
浏览 3提问于2015-04-29得票数 1
我正在接收具有以下格式的日期字符串的JSON数据:将此转换为日期时间的方法是什么?为此检查PHP函数,如果最好使用或,我就变得不安全了。有哪些不同之处,哪些更适合这项任务?
浏览 6提问于2014-02-05得票数 2
回答已采纳
1回答
Heroku得到了有趣的博客帖子:但是,没有对这些原因作出解释。那么为什么查询字符串中的auth被认为是不安全的呢?
浏览 0提问于2017-06-07得票数 1
回答已采纳
我想知道使用查询字符串处理post请求有多安全,如果不安全,我如何禁止用户向我的api发送任何查询字符串?因为现在用户可以发送任何查询字符串,而不管它是正确的查询字符串还是错误的查询字符串,并且最终可以从body而不是params获取数据(从Post man
浏览 24提问于2019-07-16得票数 0
1回答
我注意到Google并不对URL的查询部分中的所有特殊字符进行编码。例如:有人能解释一下为什么谷歌会这么做吗?如果他们有一份参考文件,说明哪些字符会被编码,哪些字符不会被编码?
浏览 0提问于2013-10-16得票数 5
1回答
避免对每一列进行查询
、、、、
我不想为用户想要更新的每个列准备查询,如下所示: return pool.query("UPDATE Users我觉得仅仅将表名或列连接到查询字符串并不安全,如下所示:
"SELECT INTO " + tablename +"(" + columns + ")" ...我的想法是在每个服务器启动时查询数据库中存在
浏览 0提问于2018-11-16得票数 0
为了简短起见,在总结我使用php、mysql和javascript/jquery开发的电子商务站点时,我发现我构建所有查询的方式(使用mysql_connect)可能会导致mysql注入和许多其他讨厌的事情为了将所有内容转换为更安全的mysqli准备语句,我编写了一个类,其中包含了从数据库中检索信息所需的所有方法,但我不确定我进行查询的方式。$this->DBH->connect_error; } ......and查询
浏览 5提问于2013-01-07得票数 5
的文档如下:
有哪些案例和例子适用于意义会改变的地方?这个函数的应用程序在哪里是不安全的,解决方法是什么?
浏览 1提问于2016-01-18得票数 3
回答已采纳
1回答
我有一个强制SSL的页面,没有任何查询字符串,一切都会在我的浏览器中正常运行。我添加了一些查询字符串,以便查询我们提供的特定产品的数据库,现在Google Chrome显示“您的连接是用256位加密的。但是,这个页面包含了其他不安全的资源。”这有什么值得担心的吗?Chrome只是对查询字符串感到厌倦了吗?
浏览 2提问于2011-10-15得票数 1
回答已采纳
1回答
我读过关于JPQL注入和SQL注入的文章。在许多站点中,从测试人员的角度来看,ORM注入几乎与SQL注入相同。因此,基本上我想知道的是JPQL和SQL注入之间的主要区别。
浏览 2提问于2019-02-09得票数 1
回答已采纳
1回答
到目前为止,我得出的结论是:
有些字符(如^ )是,因此必须仅以编码形式出现解码形式因为根本不能使用解码形式application/x-www-form-urlencoded是用于URL查询字符串的一种常用格式(虽然不是通用的),而在这种格式下,;因此,这些等价的格式不能在URL查询字符串中
浏览 1提问于2021-08-29得票数 0
可以安全地制作一个webform,用户可以在其中输入sed命令,例如:表单提交后,我希望执行sed命令,如下所示:这安全吗?从安全的角度来看,执行用户提供的sed命令的正确方式是什么?我需要检查什么或者如何准备sed命令?use 5.014;use
浏览 4提问于2011-11-25得票数 1
回答已采纳
1回答
单击此按钮后,用户将被带到另一个页面上的联系人表单,并将单击按钮的产品标题作为查询字符串附加到联系人表单URL的末尾。然后从查询字符串中收集该产品标题,并自动填充到联系人表单上标记为"products“的字段中。直到产品标题包含一个不能附加到查询字符串的“不安全”字符。例如,撇号字符'表示产品标题中以英尺为单位的度量--在其中一个出现的查询字符串</em
浏览 0提问于2018-04-26得票数 7
回答已采纳
1回答
假设我有一个表单元素,它应该允许任何合理的字符串来命名某物(IE类似于这个问题的标题)。当然,检查所有转义字符,如换行符、表单提要等,都是给定的。但是,像长度这样的东西比较难,因为一个英文的描述性名称很难用一个字符,但在中文中却是微不足道的。
有31个Unicode类,哪些是安全的?在Javascript或C#中,完整的regex或类似的检查是什么样子的?
浏览 2提问于2016-11-30得票数 0
回答已采纳
2回答
为了显示产品详细信息,我使用了查询字符串。 我的网址看起来像www.domain.com?index.php&product id=1&product-type-id=4 我的同事认为这是不安全的,我们应该对URL隐藏这些信息。他们建议我们使用会话来代替。在我看来,使用查询字符串没有什么不安全的,只要我做服务器端验证,将活动用户id传递给我的查询,以确保人们只能访问他们的产品。 像这样的URL会导致什么漏洞: www.domain.com?
浏览 28提问于2019-10-17得票数 1
回答已采纳
1回答
同域JSONP安全
、、、
在相同域(而不是跨域)中,以下场景对中间人攻击的脆弱性有多大?
不安全页面上的表单向安全页提交包含敏感数据(查询字符串)的JSONP请求。
浏览 3提问于2013-04-09得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
