Очень нужно написать тест, инъекций через параметры URL.
Немного теории:
SQL-инъекция, осуществляемая через параметры URL. Такой вид инъекции возможен, если параметры передаются на сервер методом GET.
Алгоритм тестирования:
1. Оценка ожидаемого значения параметра.
2. Добавление набора символов, приводящих к SQL-инъекции.
3. Оценка ответов Web-приложения или сообщения об ошибке.
Положительным результатом считается сообщение об ошибке базы данных, сообщение о внутренней ошибке сервера, об ошибке Web-приложения, получение от Web-приложения результатов, отличных от результатов, полученных при запросе с тем же параметром, только без добавочных символов.
Набор символов, используемый для создания тестов (добавочные символы):
1. «» (пустое значение).
2. «’» (одинарная кавычка) .
3. «’’» (две одинарных кавычки).
4. «\’’» (две одинарных кавычки, первая из которых экранирована символом бэкслеш(back slash)).
5. «--» или «#» или «/*», «*/» (знак комментария в SQL).
6. «”» (двойная кавычка).
7. «’ or ‘1’=’1» (комбинация одинарной кавычки с истинным выражением).
8. «” or “1”=”1» (комбинация двойной кавычки с истинным выражением).
9. «') or ('1'='1» (комбинация одинарной кавычки со скобочным выражением).
Сделайте пожалуйста для одного из этих параметров, дальше я сам )
Огромное спасибо!
|