Я должен продемонстрировать SQL Injection на веб-сайте, однако на моем сайте используется привязка данных knockout.js для получения объекта AJAX с типом POST и dataType JSON.Может ли SQL Injection произойти при использовании Knockout.js?
Примером являются:
<script src="http://knockoutjs.com/downloads/knockout-2.3.0.js"></script>
<div data-bind="value: details().Name" />
<script>
ko.applyBindings();
</script>
Может SQL Injection происходит в такой форме представления? Если да, то как это может произойти? Можете ли вы привести пример того, как будет выглядеть вход для всех строк?
например. нормальный SQL Инъекция будет
a'; DROP TABLE users;
Как это может случиться на моем сайте?
* «Я должен продемонстрировать SQL Injection на веб-сайте» * Технологии, которые вы используете на веб-сайте, не имеют значения: просто отправьте заказную POST, полностью обходя KO и ваш код JavaScript. Это код ** сервера **, который должен быть неуязвим для SQL-Injection; нет ничего, что может сделать ваш клиентский код, чтобы предотвратить его. –
В качестве побочного примечания я предпочитаю устанавливать соответствующие проверки на стороне сервера для тех, кто находится на стороне клиента ... – gkb