动态SQL拼接要防注入
来源:互联网 发布:app制作软件有哪些 编辑:程序博客网 时间:2024/05/23 12:05
不要相信使用Parameter安全调用分页存贮过程会没有SQL注入:
如:
DbParameter[] dbParams = {
Data.MakeInParam("@PageIndex", (DbType)SqlDbType.Int, 4, pageIndex),
Data.MakeInParam("@PageSize", (DbType)SqlDbType.Int, 4, pageSize),
Data.MakeInParam("@Tables", (DbType)SqlDbType.NVarChar, 1000, tableName),
Data.MakeInParam("@Fields", (DbType)SqlDbType.NVarChar, 2000, fieldList),
Data.MakeInParam("@Where", (DbType)SqlDbType.NVarChar, 2000, where),
Data.MakeInParam("@GroupBy", (DbType)SqlDbType.NVarChar, 2000, groupBy),
Data.MakeInParam("@OrderBy", (DbType)SqlDbType.NVarChar, 1000, orderBy),
Data.MakeOutParam("@ReturnCount", (DbType)SqlDbType.Int, totalRecords),
};
list = Data.GetDbDataReader("getPagerROWOVER", dbParams).ToList<TResult>();
这种调用也存在SQL注入.
我想查询News表中Title存在"博客园"的文章:
PageIndex = 1
PageSize = 20
Tables = "News"
Fields = "*"
Where = "Title like '%博客园%'"
GroupBy = ""
OrderBy = "NewsID Desc"
这种写法是正确的。
当用户输入“''%' or 1=1;--” 一样存在SQL注入。
当拼接Where值的时候取到文本框的值一定也要过滤非法字符。
只要存在SQL拼接就会存在注入
SQL会自动组合成:
select * from News where Title like '%博客园%' 正确
select * from News where Title like '''%''''''%''' or 1=1;--%'' 存在注入
- 动态SQL拼接要防注入
- 简单高效防注入攻击的动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- java防sql注入的sql语句拼接工具sqlHandle
- 防sql注入&文本框防sql注入
- C# sql语句拼接时 like情况的防sql注入的用法
- 防SQL注入
- SQL防注入简介
- SQL防注入简介
- SQL防注入
- SQL防注入简介
- asp sql 防注入
- 移位运算符 以及 位逻辑运算符
- SWT中的模式和非模式窗体(modal or non-modal)
- 编码
- thinking in java 学习心得
- 命令行编译MFC程序(转载)
- 动态SQL拼接要防注入
- windows远程访问linux
- 转MFC的资源切换AFX_MANAGE_STATE(AfxGetStaticModuleState())
- Asp.net中判断是否为数字
- oracle表空间操作详解
- JavaScript之appendChild、insertBefore和insertAfter
- 分组并通过条件查询最值中的最小值
- Oracle数据导入导出
- NetBean和GlassFish v3 开发Web Service