码迷,mamicode.com
首页 > 数据库 > 详细

三、ADO.Net基础【05】SQL注入漏洞(SQLInjection)

时间:2017-12-28 23:35:48      阅读:349      评论:0      收藏:0      [点我收藏+]

标签:字符串   存在   blog   结果   拼接   就是   参数   表示   select   

使用字符串拼接的方式把sql语句所需参数拼接到将要执行的sql语句中(参数一般只sql语句的过滤条件),对于用户的恶意输入可能导致不一的查询结果

例如:一个登录的例子(UserName和Password是用户的输入的用户名和密码)。

“select count(*)  from T_Users where UserName=’ ”+UserName+” ‘ and Password= ‘ ”+Password+” ‘ ”;

C#这段代码指C#将要 发送给数据库执行的代码。如果count(*)的结果大于等于1则表示用户的用户名和密码是存在并且匹配的。对于正常用户的输入这个中方法是可行的,但是如果用户的密码输入:a‘ or ‘a‘=‘a   那么无论用户的用户名和密码是否存在是否匹配他都会登录成功。这就是sql注入漏洞。

三、ADO.Net基础【05】SQL注入漏洞(SQLInjection)

标签:字符串   存在   blog   结果   拼接   就是   参数   表示   select   

原文地址:https://www.cnblogs.com/lolitagis02/p/8137593.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!