mysql - 是否可以通过复选框之类的输入来执行 SQL 注入(inject)？

Question

在旧的 Mysql API 中，是否可以通过诸如复选框之类的输入来执行 SQL 注入(inject)？如何执行？也许这是一个愚蠢的问题，但我不知道这是否可能。

Answer 1

100% 是的。这一切都取决于您的服务器端实现。当您将数据发送到服务器时，您应该执行输入验证。对于复选框，它是一个 bool 值。您应该只接受诸如 true 或 false、0 或 1、checked 等值code> 等。如果发送到服务器的数据的值与预期值不对应，则应将其丢弃，或者最好记录发送它的 IP，因为这很可能是试图破解您的服务器。

使用 fiddler、CURL 或浏览器(以及浏览器的开发控制台)等工具，您可以轻松地将任何值传递给表示该复选框的字段，因此，输入验证是服务器端的关键。