所有文章均来自网络(除测试总结部分),如果涉及到版权问题请与我联系,我会及时删除~~~~
ASP.NET中如何防范SQL注入式攻击(转贴)
上一篇 /
下一篇 2007-01-17 09:46:33
/ 个人分类:安全测试
一、什么是SQL注入式攻击?51Testing软件测试网l#bGbW3m7G8` s所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:
v)LL-E
I051Testing软件测试网s!LtjT
xU⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。51Testing软件测试网r"ox;m;r%o+t!S4K
51Testing软件测试网w$^;QR4O\|5WI⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:站长资讯网:http://www.net118.com51Testing软件测试网5Qe c d,| kyA#h5c
51Testing软件测试网/MY.ln/F$pq4w
{X,nUSystem.Text.StringBuilder query = new System.Text.StringBuilder(51Testing软件测试网h.G
yZ*Q
h7]v}.R3]$a
Ze&p_%|4x~'}0"SELECT * from Users WHERE login = '")51Testing软件测试网qgE$_+n&t s2g'c9Z
51Testing软件测试网W%@a}J9E.f6G
.Append(txtLogin.Text).Append("' AND password='")