Sql注入漏洞问题
来源:互联网 发布:s7200plc密码破解软件 编辑:程序博客网 时间:2024/06/04 19:40
看了传志播客的视频,了解到了SQL的漏洞注入问题。在这里记录一下。
<pre>cmd.CommandText = @"select count(*)" from UserInfo where UserName = '"+txtUserName.Text+"'and UserPwd = '"+txtPwd.Text+"'";<code>
这样写其实是存在SQL注入漏洞问题的,在登陆界面输入a’ or x=x – ,然后再输入任意密码就能成功登陆。因为,在sql语句中–是注释符会注释掉and后面的语句,然后where后面的语句就变成了:
where 'a'or x=x--后面全被注释掉
x=x在sql中结果恒为真,所以不管输入用户名和密码正确与否都能登陆,在以后编写代码的时候一定要注意这个问题。
而正确的写法,应该是这样的
<pre>cmd.CommandText = @"select count(*)fro UserInfo where UserName=@UserName and UserPwd=@UserPwd";//使用了参数之后,怎样给参数赋值。cmd.Parameters.Add("@UserName",txtUserName.Text);cmd.Parameters.Add("@UserPwd",txtPwd.Text);//陷阱:当参数值为0的,会把它SqlDbType//用下面这个方法更保险。cmd.Parameters.AddWithValue();<code>
0 0
- Sql注入漏洞问题
- Sql 注入漏洞,注意
- SQL注入漏洞
- sql注入漏洞原理
- SQL 注入漏洞新动向
- SQL注入漏洞接触
- SQL注入漏洞
- 防范SQL注入漏洞
- Sql 注入漏洞
- 防止SQL注入漏洞
- SQL注入漏洞攻击
- Sql 注入漏洞攻击
- sql注入漏洞攻击
- SQL注入漏洞
- SQL注入漏洞攻击
- sql注入漏洞攻击
- Sql注入漏洞攻击
- SQL漏洞注入实例
- Mac如何安装lein
- 八大排序算法详解——插入排序
- poj 2229 Sumsets
- cacheColorHint,android:listSelector属性
- 2017年2月8日
- Sql注入漏洞问题
- HDOJ(HDU).1241 Oil Deposits(DFS)
- 找出一段数中的第K最大的数:k_Max
- C实例---进制转换(栈实现)
- golang语法学习(二):控制语句,函数,以及错误处理。
- UVa1586 - Molar mass还是画流程图思路清晰
- 开源项目集合
- 关于数据库中的主键的自动增长
- 蓝桥杯-第七届省赛javaC组- 有奖猜谜