是否可以在不使用任何形式的情况下使用 SQL 注入(inject)发送 POST 请求?假设一个应用程序使用带有 id 参数的 GET 方法来检查数据库是否存在该 id,如果我们改用 POST 方法可以做到吗?
最佳答案
SQL 注入(inject)可以通过任何机制发生,用户数据直接在查询中结束。它不依赖于 GET 与 POST,甚至不依赖于 HTTP。
你可以SQL注入(inject)with OCR .你可以 SQL 注入(inject) with barcodes .只要有人粗心并且没有正确转义数据,您就可以随时进行 SQL 注入(inject)。
这就是为什么对所有查询使用带有占位符值的准备好的语句很重要。
关于mysql - SQL注入(inject)方法帖子,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53856366/