zoukankan      html  css  js  c++  java

  • ASP.NET 4学习笔记(1) SQL注入攻击及解决方案.

     一, 定义:所谓SQL注入攻击是应用程序开发人员未预期地把SQL代码传入到应用程序的过程,只有那些直接使用用户提供的值构造SQL语句的应用程序才会受影响.

      例如原SQL代码为:

      select Orders.CustomerID,Orders.OrderID,Count(UnitPrice) as Items,SUM(UnitPrice*Quantity) as Total from Orders INNER JOIN [Order Details]on Orders.OrderID=[Order Details].OrderID where Orders.CustomerID='"+txtId.Text+"' GROUP BY Orders.OrderID,Orders.CustomerID

      如果在txtId.Text所在的文本框中输入字符串:ALFKI' or '1'='1将会返回所有的订单记录,即便那些订单不是由ALFKI创建的,因为对每一行而言,1=1总是为true.

    解决方案:采用参数化命令:

      如使用参数化命令重写前面的代码为:

     protected void btnQuery_Click(object sender, EventArgs e)
            {
                string conStr = WebConfigurationManager.ConnectionStrings["Northwind"].ConnectionString;
                SqlConnection con = new SqlConnection(conStr);
                con.Open();
                string strSql = "select Orders.CustomerID,Orders.OrderID,Count(UnitPrice) as Items,SUM(UnitPrice*Quantity) as Total from Orders INNER JOIN [Order Details]on Orders.OrderID=[Order Details].OrderID where Orders.CustomerID=@CustomerID GROUP BY Orders.OrderID,Orders.CustomerID";
                SqlCommand cmd = new SqlCommand(strSql, con);
                cmd.Parameters.AddWithValue("@CustomerID", txtId.Text.Trim().ToString());
                SqlDataReader reader = cmd.ExecuteReader();
                GridView1.DataSource = reader;
                GridView1.DataBind();
                reader.Close();
                con.Close();
            }

      这样就可以避免SQL注入攻击.

      
  • 相关阅读:
    ubuntu输入法安装
    ffmpeg使用
    sourceforge无法登陆?没关系~~
    六大代码问题检验你的JAVA知识(转)
    关于Struts处理异常框架的小例子
    Spring Security连接数据库查询实例
    关于Struts的Token
    JAVA md5、SHA加密类
    利用commons upload+ffmpeg+mencoder完成视频的上传与转换
    初始化SSD1963
  • 原文地址:https://www.cnblogs.com/mcgrady/p/2225735.html
Copyright © 2011-2022 走看看