在判断用户登录时如果用了string.format字符串拼接的方式,用户有可能通过相应的拼接,去注视掉要求验证的代码;这样就有了漏洞;然而在net中通过参数的方式(本质是存储过程对这样的行为进行防范;)
protected void Button1_Click(object sender, EventArgs e)
{
string constr = "data source=.;initial catalog=UserDB1;User id=sa;password=admin";
using(SqlConnection con=new SqlConnection(constr))
{
// string sql = string.Format("select count(*) from T_Users where FuserName='{0}' and Fpassword='{1}'",txtUserName.Text.Trim(),txtPassword.Text);
//以上这种拼接sql语句的方法有sql注入漏洞攻击的问题 jk' or 1=1 --
//如果避免注入漏洞攻击呢?使用参数的方法或存储过程的方法
string sql = "select count(*) from T_Users where FuserName=@username and Fpassword=@password"; using (SqlCommand cmd=new SqlCommand(sql,con))
{
con.Open();
//在数据服务器端执行sql语句前需要告诉它@username,@password是谁。
//cmd.Parameters.AddWithValue("@username", txtUserName.Text.Trim());
//cmd.Parameters.AddWithValue("@password", txtPassword.Text);
//每一个参数都是一个参数对象
//SqlParameter p1 = new SqlParameter("@username", txtUserName.Text.Trim());
//cmd.Parameters.Add(p1);
//SqlParameter p2 = new SqlParameter("@password", txtPassword.Text);
//cmd.Parameters.Add(p2);
//很多情况下参数的个数很多p1.....p9
SqlParameter[] pms = new SqlParameter[] {
new SqlParameter("@username", txtUserName.Text.Trim()), new SqlParameter("@password", txtPassword.Text)
};
cmd.Parameters.AddRange(pms);
//通过监视发现,ADO的参数替换的方法避免了注入漏洞攻击,它通过一个存储过程实现了把输入的任何字串作为字串处理的形式。
//exec sp_executesql N'select count(*) from T_Users where FuserName=@username and Fpassword=@password',N'@username nvarchar(13),@password nvarchar(4)',@username=N'jk'' or 1=1 --',@password=N'sfds'
//在sql中,把’单引号转意为字符串的方法是前面再加一个单引号。
//在sql中的参数都是以@开始的,
int r=Convert.ToInt32(cmd.ExecuteScalar());//把sql语句送到数据服务器端执行
con.Close();//可以提前关闭链接,提高效率。
if (r > 0)
{
Response.Write("登陆成功!");
}
else
{
Response.Write("登陆失败!");
}
| 
窥视卡
雷达卡
发表于 2012-12-3 05:57:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2012-12-6 10:50:10