大坝坝keji
1. SQL注入。
说白了就是无论你传什么参数进行Select,都会把数据库中的数据查询出来。比较常见的就是通过拼接SQL查询条件,使查询语句恒为true。
select * from t_user where name=? and password = ?
如果我们把password的值输入 '''' ' or 1=1'', 这样,后台的程序在解析的时候,拼成的SQL语句,就变成了:
select * from t_user where name=? and password='' or 1=1
那么会引起无论用户名传入什么都会返回用户信息。
SQL注入预防是写程序的码农最基本的要求,要说实战不妨搞一个用jsp搞一个登录页面,然后简单Jdbc访问数据库,验证一下。
2. Get 、Post
如果前面那个SQL注入的登录页面搞定,那不妨在浏览器中右键"检查",着重关注一下请求信息,分别把提交表单的方式修改为get、post看看报文信息。
3. Cookie
还是在上一步的基础之上,着重观察一下cookie中存放的信息。一般设计的时候不会放很敏感的信息。
稍微回答一下,若未回答到你心坎里,见谅。
分享到:
