码迷,mamicode.com
首页 > 数据库 > 详细

ADO.NET 占位符(防SQL 注入攻击)

时间:2017-07-08 13:24:04      阅读:241      评论:0      收藏:0      [点我收藏+]

标签:pen   程序   nat   line   c#   com   ros   microsoft   into   

当在添加程序中注入攻击时在控制台应用程序中可以这样写:

请输入编号:U006

请输入用户名:无敌

请输入密码:1234

请输入昵称:呵呵

请输入性别:True

请输入生日:2000-1-1

请输入民族:N004‘);update Users set PassWord=‘0000‘;--

添加成功!

这样,不仅添加成功一条数据,而且数据库中Users表里的所有数据的密码都被修改成了0000。数据被篡改了,数据库被成功注入攻击。

那么我们怎么来防御这种注入攻击呢?

其实很简单,只需要修改下程序,在添加数据的C#语句中使用占位符,把位置占住就可以了。

C#语句:

string nation = Console.ReadLine();
conn.Open();
cmd.CommandText = "insert into Users values(@a,@b,@c,@d,@e,@f,@g)";
cmd.Parameters.Clear();
cmd.Parameters.AddWithValue("@a", ucode);
cmd.Parameters.AddWithValue("@b", username);
cmd.Parameters.AddWithValue("@c", password);
cmd.Parameters.AddWithValue("@d", nickname);
cmd.Parameters.AddWithValue("@e",sex);
cmd.Parameters.AddWithValue("@f", birthday);
cmd.Parameters.AddWithValue("@g", nation);
int count = cmd.ExecuteNonQuery();
conn.Close();

使用@XXX 占位符提前占好位置。

这样这条“N004‘);update Users set PassWord=‘0000‘;--”语句执行时,会被当成一个整体一块被存入列名为Nation(民族)中。

同时程序维护人员也可以在后台清楚的看到这条数据出现的异常~~~

 

ADO.NET 占位符(防SQL 注入攻击)

标签:pen   程序   nat   line   c#   com   ros   microsoft   into   

原文地址:http://www.cnblogs.com/wcl2017/p/7136374.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!