51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 12140|回复: 8
打印 上一主题 下一主题

[讨论] 网页版查询功能测试时在查询框输入%进行查询查询结果为所有内容算缺陷吗?

[复制链接]
  • TA的每日心情
    奋斗
    2019-3-11 11:00
  • 签到天数: 36 天

    连续签到: 1 天

    [LV.5]测试团长

    跳转到指定楼层
    1#
    发表于 2019-5-23 16:47:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    如题:
      网页版查询功能测试时在查询框输入%进行查询查询结果为所有内容算缺陷吗?
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-8-11 08:18
  • 签到天数: 114 天

    连续签到: 1 天

    [LV.6]测试旅长

    推荐
    发表于 2019-5-29 08:15:43 | 只看该作者
    yangyan21 发表于 2019-5-28 15:27
    也是查询所有内容

    所以不要随便下结论,首先这是个问题,但是这个问题要分情况来看:
    1 查询字段的字符串中,本身是否可能含有%
    2 不输任何条件点查询,是否会返回所有内容

    如果1=否
    2=是
    那改不改问题不大,

    如果1=是,那查询结果应该返回所有该字段含有%的结果
    如果2=否,那有可能是安全问题

    回复 支持 1 反对 0

    使用道具 举报

  • TA的每日心情
    擦汗
    2020-9-4 09:16
  • 签到天数: 246 天

    连续签到: 1 天

    [LV.8]测试军长

    4#
    发表于 2019-5-24 08:50:48 | 只看该作者
    算  ,属于安全方面的  数据库安全
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-8-11 08:18
  • 签到天数: 114 天

    连续签到: 1 天

    [LV.6]测试旅长

    5#
    发表于 2019-5-24 09:31:38 | 只看该作者
    如果什么都不输直接查询能返回所有内容吗?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2019-3-11 11:00
  • 签到天数: 36 天

    连续签到: 1 天

    [LV.5]测试团长

    6#
     楼主| 发表于 2019-5-28 15:27:00 | 只看该作者
    puchonghui 发表于 2019-5-24 09:31
    如果什么都不输直接查询能返回所有内容吗?

    也是查询所有内容
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2019-3-11 11:00
  • 签到天数: 36 天

    连续签到: 1 天

    [LV.5]测试团长

    7#
     楼主| 发表于 2019-5-28 15:31:30 | 只看该作者
    虫王戮蛊 发表于 2019-5-24 08:50
    算  ,属于安全方面的  数据库安全

    实际中可能会出现怎样的数据库安全问题呢?有研究过吗?
    想获取数据,首先得指导服务地址,还得通过验证权限,既然已经都到这一步了,也就能看到数据了

    怎么说服开发去修改这个问题呢?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2019-3-11 11:00
  • 签到天数: 36 天

    连续签到: 1 天

    [LV.5]测试团长

    8#
     楼主| 发表于 2019-5-28 15:39:22 | 只看该作者

    可能被怎么利用,有了解吗?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2021-3-31 09:25
  • 签到天数: 273 天

    连续签到: 2 天

    [LV.8]测试军长

    9#
    发表于 2019-12-11 17:45:38 | 只看该作者
    yangyan21 发表于 2019-5-28 15:39
    可能被怎么利用,有了解吗?

    SQL注入
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 07:47 , Processed in 0.075419 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表