【发布时间】:2017-07-11 08:09:22
【问题描述】:
我需要在网站中演示 SQL 注入,但是我的网站使用 knockout.js 数据绑定来接收类型为 POST 和数据类型为 JSON 的 AJAX 对象。
一个例子是:
<script src="http://knockoutjs.com/downloads/knockout-2.3.0.js"></script>
<div data-bind="value: details().Name" />
<script>
ko.applyBindings();
</script>
这样的表单提交会发生SQL注入吗?如果是这样,它怎么会发生?您能否举例说明输入将如何删除所有行?
例如正常的 SQL 注入将是
a'; DROP TABLE users;
这怎么会发生在我的网站上?
【问题讨论】:
-
“我需要在网站中演示 SQL 注入” 您在网站上使用的技术无关紧要:只需发送定制的 POST,完全绕过 KO 和您的JavaScript 代码。 server 代码需要不受 SQL 注入攻击;您的客户端代码无法阻止它。
-
作为旁注,我更喜欢为客户端的验证设置相应的服务器端验证...
标签: json ajax knockout.js