51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3342|回复: 6
打印 上一主题 下一主题

[原创] 谁来分析一下这个BUG是否就是所谓的SQL注入

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-11-18 17:04:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
用数据说话。强力推荐。。2008执业医师考试分数线预测(转)
前几天,可以查分数线以后,本人在网上搜索可能的分数线,发现一个方法,
在网上成绩查询:姓名,身份证号 填   'or''='

考号按顺序查(查询网址:http://www.nmec.org.cn/rmle3/ViewScoreBS.aspx )

备注:关于SQL注入我是从未接触过,偶认为这应该是一个BUG,但请大家分析一下原理
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
 楼主| 发表于 2008-11-18 17:09:04 | 只看该作者
自己先顶一下!
做为测试人员,我对这类信息比较感兴趣,上面的例子是今年<执业医师资格考试>成绩查询人家在网上发布的方法。
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2008-11-21 17:06:31 | 只看该作者
我记得好像SQL注入就是这条语句,测安全性的吧,俺是新手,说的不对多多指教
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2008-11-24 13:32:09 | 只看该作者
一般来说 要控制输入框中输入的  “'”,吧这些单引号做一下处理
我感觉这个应该就是SQL注入
回复 支持 反对

使用道具 举报

该用户从未签到

5#
发表于 2008-11-25 16:23:26 | 只看该作者
应该算是的,填"1=1"就更明显了
回复 支持 反对

使用道具 举报

该用户从未签到

6#
发表于 2008-11-27 15:09:19 | 只看该作者
很好,确实是SQL注入,
'; 断开原来的语句后,输入自己SQL语句,最后加上--,注释掉后面的SQL。列子 ';delete * from users--
至于 'or''='则是个恒等式。
回复 支持 反对

使用道具 举报

该用户从未签到

7#
发表于 2008-11-28 10:49:46 | 只看该作者
是SQL注入
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-27 05:54 , Processed in 0.064731 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表