• 全部
  • .NET Framework
  • ASP
  • Web Services
  • .NET互联网桌面应用
  • VB
  • 图表区
  • 分析与设计
  • 组件/控件开发
  • AppLauncher
  • 问答

这样能防止注入式攻击吗

oydj 2007-06-27 03:26:50
cmd.CommandText = "select username from log where username=@username and id=" + int.Parse(id) ;
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;


id这个参数因为只能限制是数字,不存在安全性问题所以直接字符串拼贴,而username这个是用Parameters,也就是说是混合型.

请问这样能防止注入吗?
还有求一个完善的防注入过滤函数.
...全文
269 点赞 收藏 10
写回复
10 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
sunzhong2003 2007-06-27
可以
回复
cpp2017 2007-06-27
主要问的就是这样混合式的查询是否能防注入. ==> 不能注入.
回复
KKND2006 2007-06-27
你这样自己都会迷惑的

不如统一用参数化命令
回复
oydj 2007-06-27
恩,id是否为非数字我在程序其他地方也做过判断的.

其他非数字型参数就用SqlParameter

主要问的就是这样混合式的查询是否能防注入.
回复
mangshuo 2007-06-27
cmd.CommandText = "select username from log where username=@username and id=" + int.Parse(id) ;
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;



把ID一起传过去...这样就不能注入了....
回复
cpp2017 2007-06-27
这样写注入是不可能, 但要判断id的值不是合法int的情形.
回复
oydj 2007-06-27
为了方便起见,因为现在目前是一个人在写一个较为庞大的程序,能节省的代码就节省.
这样到底能有效防止注入攻击吗?
回复
Eray 2007-06-27
1 更好的逻辑判断
2 存储过程

至于LZ这个,不明白为什么不都用参数而是混合着来……
回复
vicqqq 2007-06-27
lz也太懒了
回复
cpp2017 2007-06-27
为什么username用了参数 而id不用呢? 都用参数就可.
回复
相关推荐
发帖
.NET技术社区
创建于2007-09-28

5.8w+

社区成员

.NET技术交流专区
申请成为版主
帖子事件
创建了帖子
2007-06-27 03:26
社区公告
暂无公告