string.Format 并不能防止SQL注入攻击才对
2010-09-06 11:36
183 查看
string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险 收藏
private void StringFormat()
{
string userName = "jiri'gala";
string password = "123456";
string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。
看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:
代码
protected void btnLogin_Click(object sender, EventArgs e)
{
MAction action = new MAction(TableNames.Users);
if(action.Fill(string.Format("UserName='{0}' and Password='{1}'", txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session["ID"] = action.Get<int>(Users.ID);
action.Close();
Response.Redirect("Default.aspx");
}
else
{
lbMsg.Text = "用户密码错误!";
action.Close();
}
}
当时的回复如下:
#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
--------------------------------------------------------------------------------
作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
一篇参考文章
简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
将权限管理、工作流管理做到我能力的极致,一个人只能做好那么很少的几件事情。
< type="text/javascript"> if ($ != jQuery) { $ = jQuery.noConflict(); }
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/jirigala/archive/2010/08/21/5829455.aspx
private void StringFormat()
{
string userName = "jiri'gala";
string password = "123456";
string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。
看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:
代码
protected void btnLogin_Click(object sender, EventArgs e)
{
MAction action = new MAction(TableNames.Users);
if(action.Fill(string.Format("UserName='{0}' and Password='{1}'", txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session["ID"] = action.Get<int>(Users.ID);
action.Close();
Response.Redirect("Default.aspx");
}
else
{
lbMsg.Text = "用户密码错误!";
action.Close();
}
}
当时的回复如下:
#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
--------------------------------------------------------------------------------
作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
一篇参考文章
简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
将权限管理、工作流管理做到我能力的极致,一个人只能做好那么很少的几件事情。
< type="text/javascript"> if ($ != jQuery) { $ = jQuery.noConflict(); }
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/jirigala/archive/2010/08/21/5829455.aspx
相关文章推荐
- string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险
- string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险
- string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险
- String.Format("{0:yyyy-MM-dd}" ,dr["ar_time"].toString())不能格式化的问题
- error C2664: “void ATL::CStringT<BaseType,StringTraits>::Format(const wchar_t *,...)”: 不能将
- string.Format 中不能包含{}字符串
- String.Format("{0:yyyy-MM-dd}" ,dr["ar_time"].toString())不能格式化的问题
- JAVA字符串格式化-String.format()的使用
- php安全中不能违反的四条规则 - php 安全控制防止外部提交
- String.Format用法
- System.String.Format里"{0:C}"是什么意思。
- C# 格式化字符串 String.Format
- java的String.format()函数
- C/C++【初级】printf不能直接输出string类型
- java.lang.NumberFormatException: For input string: "productList"
- 在string.xml文件中定义一个字符串,然后在代码中通过String.format方法来格式化该字符串
- DataFormatString格式化字符串的总结
- 编写一个函数reverse_string(char * string) 实现:将参数字符串中的字符反向排列。 要求:不能使用C函数库中的字符串操作函数
- 防止SQL注入攻击的注意事项【转载】
- 使用SimpleDateFormat实现String、Date互转