这样能防止注入式攻击吗

oydj 2007-06-27 03:26:50
cmd.CommandText = "select username from log where username=@username and id=" + int.Parse(id) ;
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;


id这个参数因为只能限制是数字,不存在安全性问题所以直接字符串拼贴,而username这个是用Parameters,也就是说是混合型.

请问这样能防止注入吗?
还有求一个完善的防注入过滤函数.
...全文
364 10 打赏 收藏 转发到动态 举报
写回复
用AI写文章
10 条回复
切换为时间正序
请发表友善的回复…
发表回复
sunzhong2003 2007-06-27
  • 打赏
  • 举报
回复
可以
cpp2017 2007-06-27
  • 打赏
  • 举报
回复
主要问的就是这样混合式的查询是否能防注入. ==> 不能注入.
KKND2006 2007-06-27
  • 打赏
  • 举报
回复
你这样自己都会迷惑的

不如统一用参数化命令
oydj 2007-06-27
  • 打赏
  • 举报
回复
恩,id是否为非数字我在程序其他地方也做过判断的.

其他非数字型参数就用SqlParameter

主要问的就是这样混合式的查询是否能防注入.
mangshuo 2007-06-27
  • 打赏
  • 举报
回复
cmd.CommandText = "select username from log where username=@username and id=" + int.Parse(id) ;
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;



把ID一起传过去...这样就不能注入了....
cpp2017 2007-06-27
  • 打赏
  • 举报
回复
这样写注入是不可能, 但要判断id的值不是合法int的情形.
oydj 2007-06-27
  • 打赏
  • 举报
回复
为了方便起见,因为现在目前是一个人在写一个较为庞大的程序,能节省的代码就节省.
这样到底能有效防止注入攻击吗?
Eray 2007-06-27
  • 打赏
  • 举报
回复
1 更好的逻辑判断
2 存储过程

至于LZ这个,不明白为什么不都用参数而是混合着来……
vicqqq 2007-06-27
  • 打赏
  • 举报
回复
lz也太懒了
cpp2017 2007-06-27
  • 打赏
  • 举报
回复
为什么username用了参数 而id不用呢? 都用参数就可.
内容概要:本文针对无刷直流电机驱动的电子机械制动(EMB)执行器,建立了考虑Stribeck摩擦特性的非线性耦合动力学模型,并在Simulink环境中完成了系统级仿真分析。研究综合集成了电机动力学、齿轮传动机构与制动执行机构的动力学特性,构建了高保真的机电一体化系统模型。重点引入Stribeck摩擦模型以精确描述低速工况下执行器内部存在的静摩擦、粘滞摩擦与库仑摩擦之间的过渡行为,有效提升了系统在启停、反向运动等瞬态过程中的动态响应仿真精度。通过多工况仿真验证了模型的有效性,能够准确反映摩擦引起的爬行、滞后与定位误差等非线性现象,为EMB系统的高性能控制算法设计(如摩擦补偿、滑模控制)与结构优化提供了高可信度的仿真平台。; 适合人群:从事汽车电子制动系统、电机驱动控制、机电系统建模与仿真研究的研究生、科研人员及工程技术人员,需具备扎实的机械动力学、自动控制理论基础和MATLAB/Simulink仿真能力。; 使用场景及目标:①用于高精度电子机械制动系统的设计验证与性能预测;②为消除摩擦非线性影响的先进控制策略(如自适应控制、智能控制)提供精确的被控对象模型;③深入探究Stribeck摩擦等非线性因素对系统动态性能(如响应延迟、稳态误差)的作用机理; 阅读建议:读者应结合提供的Simulink模型文件,深入剖析Stribeck摩擦模块的数学实现与参数辨识方法,建议通过改变输入指令(如阶跃、正弦)和负载条件进行对比仿真,以直观理解非线性摩擦对系统动态特性的影响。

62,271

社区成员

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧