【发布时间】:2015-02-06 13:15:40
【问题描述】:
我需要允许用户在我的 Web 应用程序中输入 SQL 选择语句;这些选择语句将用于在自定义下拉列表中生成选项。
所以我在用户界面上有一个字段,用户可以在其中输入选择;如何禁止用户输入插入/更新/删除?我可以检查第一个语句单词是 select 但是他们可以在 UI 上输入多个语句,用分号分隔。
【问题讨论】:
-
您使用的是什么 Web 应用程序框架?什么编程语言?一般来说,您总是可以将字符串按
;拆分,并检查每个元素是否包含关键字update。 -
谢谢,这是一个 Java+AngulaJS 网络应用程序。语句可能包含带分号的字符串。
-
你用的是什么数据库?
-
旁观者的问题:你不能在你用来连接数据库的任何东西中使用参数化查询吗?
-
数据库是 Sybase IQ
标签: sql web sql-injection