51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3479|回复: 1
打印 上一主题 下一主题

高人帮我sql注入---附处理代码

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2010-2-24 15:53:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
以下是处理某网站输入后的错误提示信息,其中红色加粗的为可输入的部分,
我试了一些我知道的方法不能奏效,还请各位发表高见!我将参照各位提供的方法进行实验,成功了我就把好消息告诉大家!
数据库貌似是Oracle的
错误提示为不能执行以下SQL语句:
select count(*) as cnt        from         ( select d.org_name as master_org,o.org_id,o.org_name as org_name,o.linkman as linkman,o.email as email,o.tel as tel, decode(o.org_status_id,'1','娲诲姩','鍏抽棴')  as org_status,'<div class=orgstauts org_id='||o.org_id||' status_id='||o.org_status_id||' org_name='||o.org_name||'></div>' as operate  from asp_config.site s,mem_organization o,(select org_id,org_name from mem_organization start with org_id = '11073' connect by prior org_id=parent_org_id) d where  d.org_id=s.org_id and o.siteno=s.siteno   and o.org_name like '%''<script>alert('xss hole #n');</script>%'   and o.org_id= any (select client_org_id from mem_org_client_rela where org_id='''<script>alert('xss hole #n');</script>') and o.org_status_id = '''<script>alert('xss hole #n');</script>' and o.org_id = any (select org_id from mem_org_app_rela where version= '''<script>alert('xss hole #n');</script>')
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-8 19:23
  • 签到天数: 137 天

    连续签到: 1 天

    [LV.7]测试师长

    2#
    发表于 2010-4-17 15:19:34 | 只看该作者
    输入的这些符号,需要编码,这样你的SQL就不会报错了
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 00:00 , Processed in 0.067437 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表