大壩壩keji
1. SQL注入。
說白了就是無論你傳什麼參數進行Select,都會把數據庫中的數據查詢出來。比較常見的就是通過拼接SQL查詢條件,使查詢語句恆為true。
select * from t_user where name=? and password = ?
如果我們把password的值輸入 '''' ' or 1=1'', 這樣,後臺的程序在解析的時候,拼成的SQL語句,就變成了:
select * from t_user where name=? and password='' or 1=1
那麼會引起無論用戶名傳入什麼都會返回用戶信息。
SQL注入預防是寫程序的碼農最基本的要求,要說實戰不妨搞一個用jsp搞一個登錄頁面,然後簡單Jdbc訪問數據庫,驗證一下。
2. Get 、Post
如果前面那個SQL注入的登錄頁面搞定,那不妨在瀏覽器中右鍵"檢查",著重關注一下請求信息,分別把提交表單的方式修改為get、post看看報文信息。
3. Cookie
還是在上一步的基礎之上,著重觀察一下cookie中存放的信息。一般設計的時候不會放很敏感的信息。
稍微回答一下,若未回答到你心坎裡,見諒。
分享到:
