站内搜索写法的一个 SQL inject 漏洞
最近sql inject 可是说是红遍了整个中国,不知道多少网站在sql inject 面前轰然倒下,其实 Sql inject 在国外技术已经很成熟了,而国内则是在近一两年内慢慢走向成熟。在一个个惨痛的实例面前,脚本工作者不得不重视起来,最好的例子就是动网了。然而今天脚本是不是就很安全的呢。请看我对几个安全站点的测试结果。结果是令人吃惊的, 影子鹰, 华夏, 黑客动画吧 都存在着这个站内搜索的漏洞。 请看一段常见的站内搜索写法。 例一: 123456789101112131415161718<form name="form4" method="post" action="search.asp"><tr><td height="25"> <div align=center><input type="text" name="txtfind" size="18" onMouseOver=&qu...