防止SQL注入
2016-06-25 15:52
239 查看
一个恐怖的例子:
注入式攻击的详细解释SQL下面我们将以一个简单的用户登陆为例,结合代码详细解释一下SQL注入式攻击,与及他的防范措施。对于一个简单的用户登陆可能的代码如下:
try
{
string strUserName = this.txtUserName.Text;
string strPwd = this.txtPwd.Text;
string strSql = "select * from userinfo where UserName='" + strUserName + "' and Password='" + strPwd + "'";
SqlConnection objDbConn = new SqlConnection("数据库连接字符串");
SqlDataAdapter objAdapter = new SqlDataAdapter(strSql,objDbConn);
DataSet objDataSet = null;
objAdapter.Fill(objDataSet);//TODO 对获取的数据进行判断。
}
catch (System.Exception e)
{
this.lblMsg.Text = e.Message;
this.lblMsg.Visible = true;
}
在上面这段代码中,如果用户的输入是正常的用户名和密码的话,那么执行都会比较正常,但是,假如输入用户名的时候,输入的是“johny’--”的话,在 SQLServer里面执行的语句将会是“select * from userinfo where UserName=’johny’--‘ and Password=’密码’”,只要数据库中存在johny这个用户的话,那么不管密码是什么,语句都能够执行成功,并且能够顺利通过登陆。还 有更加厉害的,我们知道SQLServer里面有一些系统的存储过程,能够执行操作系统的很多命令,比如xp_cmdshell,假如上面用户登陆的时 候,用户名部分输入的是“johny’ exec xp_cmdshell ‘format d:/s’--”,大家想想一下后果是什么?有恶意的用户,只要把’format d:/s’这个命令稍加改造就能够做很多不合法的事情。
.NET防SQL注入方法
1,[b]利用SqlCommand传参数的方法:[/b]
2,[b]过滤禁止运行法:[/b]
3,[b]存储过程[/b]
js版的防范SQL注入式攻击代码:
http://www.cnblogs.com/xiepeixing/archive/2012/11/13/2767733.html
注入式攻击的详细解释SQL下面我们将以一个简单的用户登陆为例,结合代码详细解释一下SQL注入式攻击,与及他的防范措施。对于一个简单的用户登陆可能的代码如下:
try
{
string strUserName = this.txtUserName.Text;
string strPwd = this.txtPwd.Text;
string strSql = "select * from userinfo where UserName='" + strUserName + "' and Password='" + strPwd + "'";
SqlConnection objDbConn = new SqlConnection("数据库连接字符串");
SqlDataAdapter objAdapter = new SqlDataAdapter(strSql,objDbConn);
DataSet objDataSet = null;
objAdapter.Fill(objDataSet);//TODO 对获取的数据进行判断。
}
catch (System.Exception e)
{
this.lblMsg.Text = e.Message;
this.lblMsg.Visible = true;
}
在上面这段代码中,如果用户的输入是正常的用户名和密码的话,那么执行都会比较正常,但是,假如输入用户名的时候,输入的是“johny’--”的话,在 SQLServer里面执行的语句将会是“select * from userinfo where UserName=’johny’--‘ and Password=’密码’”,只要数据库中存在johny这个用户的话,那么不管密码是什么,语句都能够执行成功,并且能够顺利通过登陆。还 有更加厉害的,我们知道SQLServer里面有一些系统的存储过程,能够执行操作系统的很多命令,比如xp_cmdshell,假如上面用户登陆的时 候,用户名部分输入的是“johny’ exec xp_cmdshell ‘format d:/s’--”,大家想想一下后果是什么?有恶意的用户,只要把’format d:/s’这个命令稍加改造就能够做很多不合法的事情。
.NET防SQL注入方法
1,[b]利用SqlCommand传参数的方法:[/b]
2,[b]过滤禁止运行法:[/b]
js版的防范SQL注入式攻击代码:
相关文章推荐
- Memcached常规应用与分布式部署方案
- Redis与Memcache异同(三)
- Redis与Memcache异同(二)
- vc6.0运用mysql数据库中的编码所导致的乱码问题(接收和输出的编码必须要一致)
- MySQL数据库连接池
- Redis与Memcache异同(一)
- 数据库之简单整体轮廓总结
- 数据库复习整理
- 数据库范式简介
- linux下redis安装遇到的问题及解决办法
- MySQL中的isnull、ifnull和nullif函数用法
- 不用pip安装mysql-connector-python:从github上边下载安装
- MySql批处理启动、停止脚本
- 基于mysql的Hive数据仓库的搭建
- MYSQL基础知识
- Windows下Mysql5.7解压版的安装
- How to use the Sql Tuning Advisor
- mysql学习经验
- 【Oracle】INSERT INTO SELECT语句和SELECT INTO FROM语句的区别
- sql语句