SQL注入-复合语句?
SQL是否可以插入一个以SQL注入-复合语句?,sql,code-injection,Sql,Code Injection,SQL是否可以插入一个以DESC或ASC结尾的查询,这些值或从变量中提取 SELECT * FROM [master].[dbo].[spt_values] ORDER BY low asc 尝试添加分号和新语句将不起作用,因为该语句直接加载到记录集中 我们尝试了分号新语句 和 联盟 等等 由于第一个数据集没有嵌套,有没有办法将数据集连接到第一个数据集中而不嵌套 编辑: 分号new命令将不起作用,因为它将作为记录集返回。它只是用一个新命令抛出各种各样的错误。目前正在修复。只是想向上级管理层表明
DESC
或ASC
结尾的查询,这些值或从变量中提取
SELECT * FROM [master].[dbo].[spt_values] ORDER BY low asc
尝试添加分号和新语句将不起作用,因为该语句直接加载到记录集中
我们尝试了分号新语句
和
联盟
等等
由于第一个数据集没有嵌套,有没有办法将数据集连接到第一个数据集中而不嵌套
编辑:
分号new命令将不起作用,因为它将作为记录集返回。它只是用一个新命令抛出各种各样的错误。目前正在修复。只是想向上级管理层表明这些都不是好的做法。是的,这是可能的。为什么不验证不受信任的(!)输入字符串
Assert.IsTrue(str == "asc" || str == "desc");
是的,或者你当然可以在那里注射。像这样试试
SELECT * FROM [master].[dbo].[spt_values] ORDER BY low asc; DROP TABLE Users;
您似乎误解了什么是SQL注入。改变返回的数据集只是用它可以做的坏事之一(而且可能是最好的)。