首页 新闻 论坛 群组 Blog 文档 下载 读书 Tag 网摘 搜索 .NET Java 游戏 视频 人才 外包 培训 数据库 书店 程序员
中国软件网
欢迎您:游客 | 登录 注册 帮助
    • 防止SQL 注入 [已结贴,结贴人:jkjj20]
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • jkjj20
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    • 揭帖率:
    发表于:2008-06-01 11:28:21 楼主
    刚学开发ASP.NET,请教高手一个问题,要防范SQL 注入,必须在每个可能接收参数的页面里面去进行注入关键字的验证吗?
    50  修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • mqcan
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 11:31:471楼 得分:10
    尽量不用拼sql的方法去操作数据库.
    应该用参数化的方法!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • 46539492
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 11:35:062楼 得分:10
    一是写一个通用类,定义一个方法,对所有的输入过滤危险字符。
    二是利用SqlParameter可以避免注入,
    比如"select * from table1 where username=@username"
    SqlParameter pram = new SqlParameter("@username", SqlDbType.NVarChar, 50);
                pram.Value = userName;
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • kellerdu
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 12:17:133楼 得分:10
    可以在Global.aspx或者一个HttpMoule中写一个检测含SQL攻击参数的代码,从而防止SQL攻击。

    具体代码请参考:

    http://www.zgkw.cn/forums/forums/225/ShowForum.aspx
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • kellerdu
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 12:19:374楼 得分:0
    抱歉,上面地址有误,应该是

    一招搞定SQL注入

    http://www.zgkw.cn/forums/forums/thread/73963.aspx
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • rongbing84
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 13:31:375楼 得分:5
    用参数写SQL语句完全能解决
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • nighting1029
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 14:14:206楼 得分:5
    生成xml应该就 比较不怕勒!sql2005支持这样写 for xml auto,再转换一下就比较安全!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • Zeilg1981
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 15:56:417楼 得分:0
    SqlHelper
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • wangjun8868
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 16:01:048楼 得分:5
    用存储过程呢
    就不担心SQL注入了
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • shadowjl
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-06-01 16:13:059楼 得分:5
    用存储过程,用的时候用add方法添加参数
    修改 删除 举报 引用 回复
    网站简介广告服务网站地图帮助联系方式诚聘英才English 问题报告
    北京创新乐知广告有限公司 版权所有 京 ICP 证 070598 号
    世纪乐知(北京)网络技术有限公司 提供技术支持
    Copyright © 2000-2008, CSDN.NET, All Rights Reserved