百度和google的一个SQL漏洞
在搜索栏里输入a' or 1 =1--很正常的一条SQL注入语句,发现Responds超慢,最后还出来个错误页面,不知道这个算不算漏洞,大家讨论下 我又输入了aa'; select * from Admin where 1=1 --结果还是一样的。不知道这是不是故意为之 我这还好啊,可能是你的电脑问题吧。 我这搜索很快... :'( :funk: :funk: 我试了下正常的。。 那个地方不等同于数字和字符
如果说注入,只能说是搜索型注入
他的语句是 like '%关键字%' 回复 6# phoebe_kaka
你是大傻?
不知道我在说什么的话 就忽略我说的 回复 8# hedy_guo
花花花花花花花花花花???? 你觉得baidu跟google还会犯这种低级错误嘛,他们的过滤系统是相当庞大的。。 baidu和google就不是用SQL技术的,所以这个写法是不会出问题的,至于别的写法有没有用要看它们怎么实现了,很多时候用注入性测试可以试试看 楼主你检查下自己使用的浏览器~ 楼主你检查下自己使用的浏览器~ 你觉得google用的是sql? 不可能的,数据库种类多的很,有不用“表”的方式存储数据的,楼主见过没?关系型数据库只是其中一个类型,
这种1=1的低级注入SQL是因为程序里面直接拼接字符传导致的,好多年前可能很普遍,但是现在编程语言都改进了,如果程序员还直接用拼接字符串操作数据库,那他可以下课了。 看看 楼主和层主都很厉害,学到了
页:
[1]