设为首页收藏本站
开启辅助访问 软件测试门户软件测试培训软件测试论坛测试解决方案文章资料精选软件测试博客软件测试招聘

51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

51Testing软件测试论坛 »软件测试论坛 [软件测试综合栏目] [软件测试新手上路] 谁来分析一下这个BUG是否就是所谓的SQL注入
返回列表 发新帖
查看: 3211|回复: 6
打印 上一主题 下一主题

[原创] 谁来分析一下这个BUG是否就是所谓的SQL注入

[复制链接]
江南飞雪

该用户从未签到
跳转到指定楼层
1#
发表于 2008-11-18 17:04:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
用数据说话。强力推荐。。2008执业医师考试分数线预测(转)
前几天,可以查分数线以后,本人在网上搜索可能的分数线,发现一个方法,
在网上成绩查询:姓名,身份证号 填   'or''='

考号按顺序查(查询网址:http://www.nmec.org.cn/rmle3/ViewScoreBS.aspx )

备注:关于SQL注入我是从未接触过,偶认为这应该是一个BUG,但请大家分析一下原理
强力, 身份证号, 执业医师, 成绩查询, 考试分数线
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
微信
收藏收藏

相关帖子

【喜讯】51微信互动平台签到赚积点上线了
回复

使用道具 举报

江南飞雪

该用户从未签到
2#
 楼主| 发表于 2008-11-18 17:09:04 | 只看该作者
自己先顶一下!
做为测试人员,我对这类信息比较感兴趣,上面的例子是今年<执业医师资格考试>成绩查询人家在网上发布的方法。
回复 支持 反对

使用道具 举报

yank

该用户从未签到
3#
发表于 2008-11-21 17:06:31 | 只看该作者
我记得好像SQL注入就是这条语句,测安全性的吧,俺是新手,说的不对多多指教
【你来问我来答第138期】:BI数据可视化的发展趋势和职业规划!
回复 支持 反对

使用道具 举报

fpbaggio

该用户从未签到
4#
发表于 2008-11-24 13:32:09 | 只看该作者
一般来说 要控制输入框中输入的  “'”,吧这些单引号做一下处理
我感觉这个应该就是SQL注入
回复 支持 反对

使用道具 举报

george19760207

该用户从未签到
5#
发表于 2008-11-25 16:23:26 | 只看该作者
应该算是的,填"1=1"就更明显了
回复 支持 反对

使用道具 举报

147318902

该用户从未签到
6#
发表于 2008-11-27 15:09:19 | 只看该作者
很好,确实是SQL注入,
'; 断开原来的语句后,输入自己SQL语句,最后加上--,注释掉后面的SQL。列子 ';delete * from users--
至于 'or''='则是个恒等式。
【你来问我来答第138期】:BI数据可视化的发展趋势和职业规划!
回复 支持 反对

使用道具 举报

yzylion

该用户从未签到
7#
发表于 2008-11-28 10:49:46 | 只看该作者
是SQL注入
回复 支持 反对

使用道具 举报

返回列表 发新帖

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-4-28 01:19 , Processed in 0.068116 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表