Sql 注入漏洞攻击
来源:互联网 发布:税控盘开票软件 编辑:程序博客网 时间:2024/04/28 14:26
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S(Browser/Server,浏览器/客户端)模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据进行合法性判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。(摘自百度百科)
正如上面所说,SQL注入漏洞正是通过一段巧妙的SQL语句,从程序返回的结果中获得有用的信息,从而侵入系统。下面就由一个小小的案例登陆程序来向大家演示一下简单的SQL注入。
这个登陆程序由两个textbox(用户名,密码)和一个登陆按钮组成,首先应先建立一个数据库,用于存储用户名和密码,再与程序进行连接,通过由textbox传过来的值与数据库的值进行比较查询,我们通常会这样来写这段代码:
string username = txtUserName.Text;
using (SqlConnection conn = new SqlConnection(ConStr))