码迷,mamicode.com
首页 > 数据库 > 详细

(2)C#之ADO.Net 如何解决SQL注入漏洞攻击

时间:2015-10-19 20:36:27      阅读:244      评论:0      收藏:0      [点我收藏+]

标签:

SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端,欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句:
1 "select * from T_stuff where name = ‘"+txtbox1.text+"";
其中txtbox1是一个textbox控件,正常情况下我们会在这个textbox控件中输入一个姓名来查询员工的信息。
但是如果有用户在这个textbox控件中恶意输入一个拼接字符串,例如:"1‘ or ‘1‘=‘1",那么这个查询语句将会变成如下样子:
1 "select * from student where name = ‘1‘ or ‘1‘=‘1‘"
这样的话,无论如何都会查询出数据库中所有员工的所有信息,这是很大的危害。
 
针对这个问题,可以用占位符的方法来解决。我们利用SqlCommand类中Parameters的add方法进行改进,具体代码如下:
1 cmd.CommandText = "select * from student where name =@name";
2 cmd.Parameters.Add(new SqlParameter("@name",textBox1.Text));
◇Parameters机制主要会在数据库中的响应列进行比对,查询是否在该列中存在@后面的字符,这个时候再在textbox中输入类似“1‘ or ‘1‘=‘1”的字符已经没有效果了。
 
◇@后面的字符参数不能运用于替代一些关键字等信息,只能够用于替代数据库中存在的项的具体值,也就是    “=”号后面的东西。
 

(2)C#之ADO.Net 如何解决SQL注入漏洞攻击

标签:

原文地址:http://www.cnblogs.com/kaolalovemiaomiao/p/4707547.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!