string.Format 并不能防止SQL注入攻击才对,出于好奇,特意做了测试来证明一下的确存在SQL注入攻击危险
时间:2010-08-21 来源:吉日嘎拉 不仅权限管理
private void StringFormat()
{
string userName = "jiri'gala";
string password = "123456";
string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
代码
protected void btnLogin_Click(object sender, EventArgs e)
{
MAction action = new MAction(TableNames.Users);
if(action.Fill(string.Format("UserName='{0}' and Password='{1}'", txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session["ID"] = action.Get<int>(Users.ID);
action.Close();
Response.Redirect("Default.aspx");
}
else
{
lbMsg.Text = "用户密码错误!";
action.Close();
}
}
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。 作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
{
string userName = "jiri'gala";
string password = "123456";
string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊。
看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:
代码
protected void btnLogin_Click(object sender, EventArgs e)
代码
{
MAction action = new MAction(TableNames.Users);
if(action.Fill(string.Format("UserName='{0}' and Password='{1}'", txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session["ID"] = action.Get<int>(Users.ID);
action.Close();
Response.Redirect("Default.aspx");
}
else
{
lbMsg.Text = "用户密码错误!";
action.Close();
}
}
#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。 作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
相关阅读 更多 +
