========ASP.NET中防范SQL注入攻击的问题==========
我要做一个新闻系统,向数据库中添加内容是用的存储过程,但是怎么防范 SQL 注入攻击呢?
如果在数据库中新闻的标题列用的是text格式,当用户提交一个<select * from mytable>的时候是作为执行语句来对待,还是做为字符对待?也就是说怎么确保在数据库中将注入的代码作为原意数据,而不是可执行语句来对待呢.
问题点数:20、回复次数:6Top
1 楼zhaoyingqi(芹菜)回复于 2005-08-29 15:27:12 得分 0
不明白楼主什么意思,文章标题肯定是文本,怎么会执行???Top
2 楼dk385(大康)回复于 2005-08-29 15:44:54 得分 0
在程序中尽量减少SQL语句字符串的连接,替换掉"',--"之类的字符.尽可能用存储过程来执行所有的查询,限制相关数据库帐户权限....Top
3 楼odesseydk(头发乱了)回复于 2005-08-29 15:52:18 得分 0
SQL注入不是一两句话就能说明白的,建议LZ先学习如何SQL注入,然后再写。Top
4 楼wfevgch(聪明的一休)回复于 2005-08-30 15:57:30 得分 0
对输入进行替换,将一个单引号替换为两个单引号
然后对输入进行校验,对含有delete insert xp_cmdshell exec等关键字的均不能通过Top
5 楼cdo(Everything has a favourable turn)回复于 2005-08-30 16:04:09 得分 0
在sqlcommand里面用参数的方法 updata table set NAME=@NAME where ID=@IDTop
6 楼xamaizi(ecogiser)回复于 2005-08-30 16:54:13 得分 0
使用证则表达式过滤一些危险的关键字Top
相关问题
- 菜鸟问题,经常听说SQL注入式攻击,是怎么回事啊,ASP.NET中如何防范SQL注入式攻击?
- 关于sql注入攻击
- ===============请问各位高手,这样能被sql注入攻击吗?==================
- 问大家一个问题,什么叫SQL注入式攻击???
- SQL注入式攻击,用SQL参数的方法可以防得住吗?
- 求asp防止sql注入的一个函数
- 求防SQL注入的asp代码如何用asp.net实现(c#)?谢谢
- 有关asp 防止SQL注入最佳解决方案,在线等!
- sql注入防范问题,急急急急急急急急急急急急急急急急急急急急急急!
- 被告知有SQL注入漏洞,并且对取得管理员密码,请教如何产生的及其防范
