百度和google的一个SQL漏洞

hbch521 · 发表于 2011-4-22 10:10:10

在搜索栏里输入

复制代码

很正常的一条SQL注入语句，发现Responds超慢，最后还出来个错误页面，不知道这个算不算漏洞，大家讨论下

hbch521 · 发表于 2011-4-22 10:22:20

我又输入了aa'; select * from Admin where 1=1 --
结果还是一样的。不知道这是不是故意为之

wspc · 发表于 2011-4-22 20:38:04

我这还好啊，可能是你的电脑问题吧。

topashely · 发表于 2011-4-25 16:31:17

我这搜索很快...

wspc · 发表于 2011-6-10 20:31:22

phoebe_kaka · 发表于 2011-6-20 15:09:52

我试了下正常的。。

hongyepiaoxiang · 发表于 2011-8-27 22:26:17

那个地方不等同于数字和字符
如果说注入，只能说是搜索型注入
他的语句是 like '%关键字%'

hedy_guo · 发表于 2011-9-8 15:54:35

回复 6# phoebe_kaka

你是大傻？
不知道我在说什么的话就忽略我说的

phoebe_kaka · 发表于 2011-9-9 10:28:25

回复 8# hedy_guo

花花花花花花花花花花？？？？

yp_kkp · 发表于 2011-10-5 14:42:47

你觉得baidu跟google还会犯这种低级错误嘛，他们的过滤系统是相当庞大的。。

云层 · 发表于 2011-10-5 16:44:51

baidu和google就不是用SQL技术的，所以这个写法是不会出问题的，至于别的写法有没有用要看它们怎么实现了，很多时候用注入性测试可以试试看

ma_beny · 发表于 2011-10-9 17:06:27

楼主你检查下自己使用的浏览器~

ma_beny · 发表于 2011-10-9 17:06:33

楼主你检查下自己使用的浏览器~

看雪时节 · 发表于 2011-10-13 16:04:53

你觉得google用的是sql？

wower1985 · 发表于 2011-12-12 11:41:01

不可能的，数据库种类多的很，有不用“表”的方式存储数据的，楼主见过没？关系型数据库只是其中一个类型，
这种1=1的低级注入SQL是因为程序里面直接拼接字符传导致的，好多年前可能很普遍，但是现在编程语言都改进了，如果程序员还直接用拼接字符串操作数据库，那他可以下课了。

Alawn · 发表于 2017-12-29 13:49:30

看看

kz东方 · 发表于 2018-1-29 17:12:42

楼主和层主都很厉害，学到了

		自动登录	找回密码
密码			(注-册)加入51Testing

站长推荐 /1