很多时候,WEB开发人员为了偷懒,对于数据输入的长度仅在前台作了限制,而在POST提交页面并未进行判断,这时候很有可能会通过其他方法进行攻击(虽然,插入数据库后,可能会被自动截断,但。。。改改总是挺好玩的)
如:提交页面
XML/HTML代码
- <input type="text" name="msg_title" value="" id="msg_title" maxlength="3">
这样的INPUT框里面,你就只能输入3个字符了,怎么办?当然有办法了,在浏览器的地址栏里键入如下代码:
XML/HTML代码
- javascript:document.getElementById('msg_title').value='123456';void(0);
现在再看一下,是不是input框里面有6个字符了???
黑黑。。。