hbch521 发表于 2011-4-22 10:10:10

百度和google的一个SQL漏洞

在搜索栏里输入a' or 1 =1--很正常的一条SQL注入语句,发现Responds超慢,最后还出来个错误页面,不知道这个算不算漏洞,大家讨论下

hbch521 发表于 2011-4-22 10:22:20

我又输入了aa'; select * from Admin where 1=1 --
结果还是一样的。不知道这是不是故意为之

wspc 发表于 2011-4-22 20:38:04

我这还好啊,可能是你的电脑问题吧。

topashely 发表于 2011-4-25 16:31:17

我这搜索很快...

wspc 发表于 2011-6-10 20:31:22

:'( :funk: :funk:

phoebe_kaka 发表于 2011-6-20 15:09:52

我试了下正常的。。

hongyepiaoxiang 发表于 2011-8-27 22:26:17

那个地方不等同于数字和字符
如果说注入,只能说是搜索型注入
他的语句是 like '%关键字%'

hedy_guo 发表于 2011-9-8 15:54:35

回复 6# phoebe_kaka


    你是大傻?
不知道我在说什么的话 就忽略我说的

phoebe_kaka 发表于 2011-9-9 10:28:25

回复 8# hedy_guo


    花花花花花花花花花花????

yp_kkp 发表于 2011-10-5 14:42:47

你觉得baidu跟google还会犯这种低级错误嘛,他们的过滤系统是相当庞大的。。

云层 发表于 2011-10-5 16:44:51

baidu和google就不是用SQL技术的,所以这个写法是不会出问题的,至于别的写法有没有用要看它们怎么实现了,很多时候用注入性测试可以试试看

ma_beny 发表于 2011-10-9 17:06:27

楼主你检查下自己使用的浏览器~

ma_beny 发表于 2011-10-9 17:06:33

楼主你检查下自己使用的浏览器~

看雪时节 发表于 2011-10-13 16:04:53

你觉得google用的是sql?

wower1985 发表于 2011-12-12 11:41:01

不可能的,数据库种类多的很,有不用“表”的方式存储数据的,楼主见过没?关系型数据库只是其中一个类型,
这种1=1的低级注入SQL是因为程序里面直接拼接字符传导致的,好多年前可能很普遍,但是现在编程语言都改进了,如果程序员还直接用拼接字符串操作数据库,那他可以下课了。

Alawn 发表于 2017-12-29 13:49:30

看看

kz东方 发表于 2018-1-29 17:12:42

楼主和层主都很厉害,学到了
页: [1]
查看完整版本: 百度和google的一个SQL漏洞