6 个答案:
答案 0 :(得分:46)
关于退格字符的猜测:想象一下,我发送了一封电子邮件“嗨,这是根据需要更新数据库的查询”和带有的附加文本文件
INSERT INTO students VALUES ("Bobby Tables",12,"abc",3.6);
你捕获文件,看到它没关系,然后将文件传输到MySQL。然而,你不知道的是我把
DROP TABLE students;\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b
在INSERT STATEMENT之前你没有看到,因为在控制台输出上,退格会覆盖它。 BAMM!
但只是一个猜测。
编辑(无法抗拒):
答案 1 :(得分:15)
\0 ASCII NUL(0x00)字符。
\'单引号(“'”)字符。
\"双引号(“"”)字符。
\b退格字符。
\n换行符(换行符)。
\r回车符。
\t标签字符。
\Z ASCII 26(Control-Z)。见表格后面的注释。
\\反斜杠(“\”)字符。
\%“%”字符。见表格后面的注释。
\_“_”字符。见表格后面的注释。
答案 2 :(得分:4)
如果您有其他选择,黑名单(识别不良角色)绝不是您的选择。
您需要使用白名单,更重要的是绑定参数方法的组合。
答案 3 :(得分:0)
用户输入包含制表符或退格符?
至关重要的是,到目前为止,大多数用户确实认为必须转发用户输入,并且这样的“可以防止注入”。
答案 4 :(得分:0)
Java解决方案:
public static String filter( String s ) {
StringBuffer buffer = new StringBuffer();
int i;
for( byte b : s.getBytes() ) {
i = (int) b;
switch( i ) {
case 9 : buffer.append( " " ); break;
case 10 : buffer.append( "\\n" ); break;
case 13 : buffer.append( "\\r" ); break;
case 34 : buffer.append( "\\\"" ); break;
case 39 : buffer.append( "\\'" ); break;
case 92 : buffer.append( "\\" );
if( i > 31 && i < 127 ) buffer.append( new String( new byte[] { b } ) );
}
}
return buffer.toString();
}
答案 5 :(得分:-2)
不能只从用户输入中删除单引号吗?
例如:1,Func
