社区
分析与设计
帖子详情
请教.net安全性的问题,及SQL的注入攻击的防范
陶庆
2009-03-16 11:09:16
问题如题,,
最近本人的站点一直有被他人进行SQL注入方式的攻击现象,
请教大家有什么好的方法来对此现象进行制止!!
请教了。。
...全文
82
6
打赏
收藏
请教.net安全性的问题,及SQL的注入攻击的防范
问题如题,, 最近本人的站点一直有被他人进行SQL注入方式的攻击现象, 请教大家有什么好的方法来对此现象进行制止!! 请教了。。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
6 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
Flyear
2009-03-18
打赏
举报
回复
我Blog上的连接地址: http://www.cnblogs.com/Flyear/archive/2009/03/18/1415395.html
Flyear
2009-03-18
打赏
举报
回复
第一种方法:
1.所有传入的Sql参数统统都用SqlParameter来写.
第二种方法
1.对所有要传入的参数做Sql关键字符过滤.
用法:
string strSql = "select * from UserInfo where UID = {0}";
strSql = FormatSql(strSql,tbUID.Text);
/// <summary>
/// Sql语句过滤处理类
/// </summary>
public static class SqlFilter
{
/// <summary>
/// 过滤Sql注入的字符
/// </summary>
/// <param name="sqlCondition">要过滤的Sql数据</param>
/// <returns></returns>
public static string FilterInjection(string sqlCondition)
{
if (sqlCondition.Trim() != string.Empty)
sqlCondition = sqlCondition.Trim();
sqlCondition = sqlCondition.Replace("''", "");
sqlCondition = sqlCondition.Replace("'", "''");
sqlCondition = sqlCondition.Replace("_", @"\_");
sqlCondition = sqlCondition.Replace("%", @"\%");
return sqlCondition;
}
public static string AddEsCape(string strSql, string sqlCondition)
{
string m_ReturnSql = string.Empty;
if (sqlCondition.Contains(@"\%") || sqlCondition.Contains(@"\_"))
{
m_ReturnSql = string.Format(strSql, sqlCondition) + @" escape '\' ";
}
else
{
m_ReturnSql = string.Format(strSql, sqlCondition);
}
return m_ReturnSql;
}
public static string FormatSql(string strSql, string sqlCondition)
{
string m_Condition = FilterInjection(sqlCondition);
if (string.IsNullOrEmpty(m_Condition))
{
return string.Empty;
}
else
{
return AddEsCape(strSql, m_Condition);
}
}
}
春天的气息
2009-03-17
打赏
举报
回复
sql权限,
语句过滤
传递参数
------------------------------------------
欢迎加入我的程序设计QQ群80532706哟
请注册bbs.bbs180.com,并写清把ID号,然后加入群,
huang_net
2009-03-17
打赏
举报
回复
sqlparameter做登陆,就可以避免攻击!!!
陶庆
2009-03-17
打赏
举报
回复
谢谢大家了。。。
chenjianyong94
2009-03-16
打赏
举报
回复
直接调用存储过程。不写sql语句。
防止
SQL
注入
- 整理篇
1、
请教
大牛有什么好点方法防止
SQL
注入
?最好能有个实例借鉴下。 2、大家做程序会用到设计模式吗?常用哪些设计模式呢?有什么优缺点! 答案1: /// /// 过滤标记 /// /// 包括HTML,脚本,数据库关键字,特殊字符的源码 /// 已经去除标记后的文字 public static string NoHTML(string Htmlstring)
My
SQL
数据库
SQL
注入
靶场
sql
i通关实战(附靶场安装包)
SQL
注入
是指web应用程序对用户输入数据的合法性没有判断或过滤不严,
攻击
者可在web应用程序中事先定义好的查询语句的结尾上添加额外的
SQL
语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。带入执行的参数能够可控;拼接的
SQL
语句能够带入数据库中,并执行;
SQL
注入
攻击
是通过操作输入来修改
SQL
语句,用以达到执行代码对WEB服务器进行
攻击
的方法。
【
.Net
工程师面试笔试宝典】
.Net
工程师面试笔试宝典
.net
主要题型积累
1、简述private、protected、public、internal修饰符的访问权限。 private:私有成员,在类的内部才可以访问。 protected:保护成员,该类内部和继承类中可以访问。 public:公共成员,完全公开,没有访问限制。 internal:当前程序集内可以访问。 2、ADO
.NET
中的五个主要对象 Connection:主要...
Oracle数据库安全
防范
:典型
问题
和解决思路
数据安全是个很广的话题,它包括了网络安全、操作系统安全、应用层安全和数据库安全等。数据安全的目标是敏感数据"看不见",核心数据"拿不走",运维操作"能审计"。 常见的安全风险主要有外部
攻击
和内部威胁两大类: 1、外部的
攻击
:可能使用的软件漏洞,绕过登录信息,破解密码等方式登录系统;拒绝服务:通过请求有限的资源,如端口分配给未授权用户;未经授权的数据和服...
分析与设计
13,190
社区成员
5,759
社区内容
发帖
与我相关
我的任务
分析与设计
.NET技术 分析与设计
复制链接
扫一扫
分享
社区描述
.NET技术 分析与设计
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章