0
SQLインジェクションは、古いMysql APIのチェックボックスのような入力から実行できますか? それは愚かな質問かもしれませんが、可能かどうかわかりません。SQLインジェクションはチェックボックスのような入力で実行できますか?
A
答えて
5
100%はい。それはすべてあなたのサーバー側の実装になります。データをサーバーに送信するときは、入力の検証を実行する必要があります。チェックボックスの場合は、ブール値です。 trueまたはfalse,0または1,などの値を受け入れるだけでよい。サーバーに送信されるデータの値が期待値に一致しない場合は、それを破棄する必要があります。あなたのサーバーをハッキングしようとする可能性が高いため、ログに記録してください。
fiddler、CURL、ブラウザ(およびブラウザのdevconsole)などのツールを使用すると、そのチェックボックスを表すフィールドに任意の値を簡単に渡すことができるため、入力の検証はサーバー側で重要です。
+0
チェックボックスの値を編集してフォームを提出するには、Chromeで文字通り2秒かかるということをしばしば忘れる。 – tadman
2
はい。チェックボックスの値属性は、Webインスペクタで編集することも、誰かがコードを使用してURLに送信することもできます。ただテキストを送るだけです。
関連する問題
- 1. 入力からのSQLインジェクション
- 2. ここでYii execute()でSQLインジェクションを実行できますか?
- 3. SqlCommand以外でSQLインジェクション攻撃を実行できますか?
- 4. ストアドプロシージャでSQLインジェクションを実行できますか?
- 5. 実行されていないSQLでのSQLインジェクションの防止
- 6. angularjs入力フィールドをチェックしてSQLインジェクションのような文字列が届かないようにする
- 7. SQLParameterはSQLインジェクションをどのように防止しますか?
- 8. Kormaは実行するSQLをどのように出力しますか?
- 9. mysqli_real_escape_stringがSQLインジェクションを防止できないのはなぜですか?
- 10. 実際に大きなスプレッドシート> 300,000行でVBで自動入力しようとしています
- 11. チェックボックスは動作しますが、入力の行は
- 12. MS SQLトリガーはどのようなインスタンスで実行に失敗しますか?
- 13. addslashes(string)だけでSQLインジェクションを防止できますか?
- 14. LINQ-To-SQLはSQLインジェクションをどのように防止しますか?
- 15. javaで入力テキスト、入力パスワード、ラジオボタン、チェックボックス、テキストエリアなど
- 16. INSERTでのSQLインジェクション
- 17. DisguiseでのSQLインジェクション
- 18. SQLクエリは1つのクエリで実行できますか?
- 19. 誰かが入力テキストボックスなしであなたのウェブサイトに「入力」できるようにするにはどうすればよいですか?
- 20. 他のクラスはどのように実行できますか?
- 21. SQLインジェクションの挿入を防止する
- 22. SQLサーバで何も実行しない(T SQLコマンド)とは何かを実行するコマンドを出力する
- 23. JavaScriptで同期入力を行うことはできますか?
- 24. ASP.NET MVC Ajax - キーボード入力で-GENERATED-Ajaxリンクを実行できますか?
- 25. 行6のコードを実行できないようです
- 26. 名前を入力するだけで実行できるシェルスクリプト
- 27. Entity Framework(v4)はSQL Server以外で実行できますか?
- 28. これらのコードスニペットはなぜ危険ですか? (SQLインジェクション)
- 29. サーバアクションの実行WebSocketでのユーザ入力
- 30. 豊かな顔:入力テキストのような出力テキストの外観を設定できますか?
SQLインジェクションから保護するための基本的なルールは次のとおりです。Trust * nothing *はユーザーによって提供され、データベースに格納されたすべてのものをエスケープします。可能な限り準備されたステートメントを使用してください。これは最も信頼できる防御です。 – tadman
web secuirtyに関しては、決して尋ねられなかったのは愚かな質問だけです。 –
@JonathanEustaceこれは、今までに尋ねられたすべての質問が愚かな質問であることを意味します。キリスト教徒。 –