通过对Request.ServerVariables("HTTP_REFERER")的判断，是否可以阻止sql注入，为什么？

通过对Request.ServerVariables("HTTP_REFERER")的判断，是否可以阻止sql注入，为什么？请多给些理由。 问题点数：20、回复次数：3Top

1 楼lienzhu（李强）回复于 2004-12-02 20:04:17 得分 10

Request.ServerVariables("HTTP_REFERER")不能有效防止，并且通过get提交的也无效！  
   
  不可以，sql注入多是通过特殊符号和语句注入  
   
  例如：姓名   数据库中有数据   name=admin   pass=123456  
   
  一些人习惯这样写   sql="select   *   from   mytable   where   name='"   &   name   &"'   and   '   pass='"   &   pass   &"'"  
  如果我输入  
  name=admin,pass=123  
   
  sql="select   *   from   mytable   where   name='admin'   and   pass='123'"  
  显然查不到数据  
   
  但我输入  
  name=admin   pass=123'   or   '1'=  
   
  sql="select   *   from   mytable   where   name='admin'   and   pass='123'   or   '1'='1'"  
   
  显然能查到数据  
   
  注入方式还很多，你可以搜索一下！  
   
  Top

2 楼hhjjhjhj（大头)(http://office.9zp.com）回复于 2004-12-02 20:04:58 得分 10

Request.ServerVariables("HTTP_REFERER")只是防盗链的Top

3 楼otrade（otrade）回复于 2004-12-02 20:11:37 得分 0

忽略了一个问题，是这样的：通过对Request.ServerVariables("HTTP_REFERER")的判断，是否只客户端验证就可以防止sql的注入了？？？？Top

相关问题

• sql注入
• 注入
• 数据
• sql
• servervariables
• 判断
• referer
• 是否
• pass
• admin

• 帖主：otrade
• lienzhu
• hhjjhjhj

• Web开发类图书