我运行SQLMAP来测试其中一个站点的SQL注入,并获得以下信息。
sqlmap identified the following injection points with a total of 78 HTTP(s) requests:
---
Place: GET
Parameter: id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=666' AND 1737=1737 AND 'pQMi'=
我已经在我的网站的所有网页的页眉中包含了menu.asp: <!--include file="menu.asp"--> 并且有一个代码来检查用户是否已经登录 <%
if request.cookies("user")<>"" then
response.write request.cookies("user")
else
response.write "sign in"
end if
%> 上面的代码在所有页面都运行良好,除了当用户从银行支付回来。银行网站会将支
在查看我的网站中的一些日志时,我发现一堆查询字符串变量包含sql注入片段:
'myvalue AND CHAR(124) USER CHAR(124)=0 AND ='
'myvalue AND 1=2'
如何净化查询字符串变量?
平台是ASP.NET,FM4.0,Server 2008。因此,使用参数化查询。但是有一部分应用程序(旧的)运行着经典的ASP。在经典的ASP中没有参数化查询。