防止ASP.NET被SQL注入攻击
2009-03-19 13:50
441 查看
防止ASP.NET被SQL注入攻击并不是难事,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。
第一,对于动态构造SQL查询的场合,可以使用下面的技术。
替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义;删除用户输入内容中的所有连字符;对于用来执行查询的数据库账户,限制其权限。
第二,用存储过程来执行所有的查询。
SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限,可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。
第三,限制表单或查询字符串输入的长度。
如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插
入有害代码的难度。
第一,对于动态构造SQL查询的场合,可以使用下面的技术。
替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义;删除用户输入内容中的所有连字符;对于用来执行查询的数据库账户,限制其权限。
第二,用存储过程来执行所有的查询。
SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限,可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。
第三,限制表单或查询字符串输入的长度。
如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插
入有害代码的难度。
相关文章推荐
- ASP.NET 2.0防止SQL注入攻击
- asp.net 防止SQL注入攻击
- asp.net 防止SQL注入攻击
- ASP.NET网站防止SQL注入攻击
- asp.net 防止SQL注入攻击
- asp.net 防止SQL注入攻击
- asp.net 之防止sql注入攻击
- ASP.NET网站防止SQL注入攻击
- asp.net 如何防止Sql注入攻击
- ASP.net中防止sql注入攻击
- ASP.NET网站防止SQL注入攻击
- ASP.NET网站防止SQL注入攻击
- ASP.NET网站防止SQL注入攻击
- ASP.NET防止页面被多次提交
- 防止ASP.NET按钮多次提交代码
- Asp.net 防止模拟Http请求
- ASP.NET中防止页面多次加载的IsPostBack属性
- asp.net禁用按钮以防止重复提交
- aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻击