62,074
社区成员
发帖
与我相关
我的任务
分享这样能防止注入式攻击吗
cmd.CommandText = "select username from log where username=@username and id=" + int.Parse(id) ;
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;
id这个参数因为只能限制是数字,不存在安全性问题所以直接字符串拼贴,而username这个是用Parameters,也就是说是混合型.
请问这样能防止注入吗?
还有求一个完善的防注入过滤函数.
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;
id这个参数因为只能限制是数字,不存在安全性问题所以直接字符串拼贴,而username这个是用Parameters,也就是说是混合型.
请问这样能防止注入吗?
还有求一个完善的防注入过滤函数.
...全文
请发表友善的回复…
发表回复
sunzhong2003 2007-06-27
- 打赏
- 举报
可以
cpp2017 2007-06-27
- 打赏
- 举报
主要问的就是这样混合式的查询是否能防注入.
==>
不能注入.
KKND2006 2007-06-27
- 打赏
- 举报
你这样自己都会迷惑的
不如统一用参数化命令
不如统一用参数化命令
oydj 2007-06-27
- 打赏
- 举报
恩,id是否为非数字我在程序其他地方也做过判断的.
其他非数字型参数就用SqlParameter
主要问的就是这样混合式的查询是否能防注入.
其他非数字型参数就用SqlParameter
主要问的就是这样混合式的查询是否能防注入.
mangshuo 2007-06-27
- 打赏
- 举报
cmd.CommandText = "select username from log where username=@username and id=" + int.Parse(id) ;
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;
把ID一起传过去...这样就不能注入了....
cmd.Parameters.Add(new SqlParameter("@username",SqlDbType.VarChar,16));
cmd.Parameters["@username"].Value=user;
把ID一起传过去...这样就不能注入了....
cpp2017 2007-06-27
- 打赏
- 举报
这样写注入是不可能,
但要判断id的值不是合法int的情形.
oydj 2007-06-27
- 打赏
- 举报
为了方便起见,因为现在目前是一个人在写一个较为庞大的程序,能节省的代码就节省.
这样到底能有效防止注入攻击吗?
这样到底能有效防止注入攻击吗?
Eray 2007-06-27
- 打赏
- 举报
1 更好的逻辑判断
2 存储过程
至于LZ这个,不明白为什么不都用参数而是混合着来……
2 存储过程
至于LZ这个,不明白为什么不都用参数而是混合着来……
vicqqq 2007-06-27
- 打赏
- 举报
lz也太懒了
cpp2017 2007-06-27
- 打赏
- 举报
为什么username用了参数 而id不用呢?
都用参数就可.
