这句Sql语句会被如何攻击?

lsd123 2009-05-06 02:21:23 
Sql语句:

 string productName=something value

 string strSql=string.Format("select * from MyTable where ProductName like '%{0}%'",productName)



 注:MyTable 是普通产品表
...全文
247 32 打赏 收藏 转发到动态 举报
写回复
用AI写文章
32 条回复
切换为时间正序
请发表友善的回复…
发表回复
lsd123 2009-05-15
  • 打赏
  • 举报
 回复
wanshichen 2009-05-15
  • 打赏
  • 举报
 回复
string productName=" ';"+你要执行的任何操作语句+";--";


是啊,这样就太恐怖了……
让你望见影子的墙 2009-05-15
  • 打赏
  • 举报
 回复
看看精华帖的注入专题
haotian0317 2009-05-15
  • 打赏
  • 举报
 回复
语句有什么好攻击的...??
usher_gml 2009-05-08
  • 打赏
  • 举报
 回复
帮顶..
zhengzeng 2009-05-08
  • 打赏
  • 举报
 回复

string productName=" ';"+你要执行的任何操作语句+";--";
string strSql=string.Format("select * from MyTable where ProductName like '%{0}%'",productName)
sparklerl 2009-05-08
  • 打赏
  • 举报
 回复
Mark
robake 2009-05-08
  • 打赏
  • 举报
 回复
哇噻,这个贴子来的高手也太多了吧。
lsd123 2009-05-08
  • 打赏
  • 举报
 回复
htl258_Tony 2009-05-07
  • 打赏
  • 举报
 回复 
string productName="';Drop database dbname;--"
ysycysyc 2009-05-07
  • 打赏
  • 举报
 回复
学习
lsd123 2009-05-07
  • 打赏
  • 举报
 回复
谢谢
等不到来世 2009-05-07
  • 打赏
  • 举报
 回复
sql注入五花八门,LZ想简简单单就解决不太可能。
sql版精华贴里面有这方面的讨论,可以看看。

常规的预防方法就是:
1.做严格的参数检查
2.过滤掉危险字符
等不到来世 2009-05-07
  • 打赏
  • 举报
 回复
[Quote=引用 18 楼 lsd123 的回复:]
引用 9 楼 szx1999 的回复:
C# codestringproductName="';Drop table MyTable;select '"



SQL code如果我的Sql语句后面再加个条件,
如"select * from MyTable where ProductName like '%"+ProductName +"%' and 1=1"
这样会被如何攻击?
[/Quote]

大同小异,只要能拼成一串可执行的代码就行。
string productName="';Drop table MyTable;select 1 where ''='"
lsd123 2009-05-07
  • 打赏
  • 举报
 回复
[Quote=引用 9 楼 szx1999 的回复:]
C# codestringproductName="';Drop table MyTable;select '"
[/Quote]

如果我的Sql语句后面再加个条件,

如"select * from MyTable where ProductName like '%"+ProductName +"%' and 1=1"

这样会被如何攻击?
hery2002 2009-05-07
  • 打赏
  • 举报
 回复
拼接字符串都会有这样的问题的.
所以还是建议看看怎么防止攻击的.
多做准备.
echoxue 2009-05-06
  • 打赏
  • 举报
 回复
学习
lsd123 2009-05-06
  • 打赏
  • 举报
 回复
[Quote=引用 9 楼 szx1999 的回复:]
C# codestringproductName="';Drop table MyTable;select '"
[/Quote]
看来很危险
lsd123 2009-05-06
  • 打赏
  • 举报
 回复
[Quote=引用 11 楼 perfectaction 的回复:]
Format是啥..
[/Quote]

是个字符串链接函数,相当于+
長胸為富 2009-05-06
  • 打赏
  • 举报
 回复
只听说过注入攻击,不知道LZ这怎么能攻击。
加载更多回复(12)
SQL语句基础教程
SQL语句基础教程
SQL学习资料(包含所有常用的语句例子)
sql学习必备,内含sql一些常用语句的例子,有图有表,通过结果来理解sql语句的实现与结果。
在mapper映射文件中批量插入数据的sql语句该怎么写?以及怎样在sql语句中接收list集合参数?
文章目录在mapper映射文件中批量插入数据的sql语句该怎么写?单条数据插入的好好的,为什么要突然变成批量插入的呢?怎样写批量插入 在mapper映射文件中批量插入数据的sql语句该怎么写? 单条数据插入的好好的,为...
sql 纵向求和_SQL语句求和语句该怎么编写?有几种方法?
SQL语句是数据库的灵魂,下面要给大家介绍的是SQL语句中求和的各种方法,希望对你们有所帮助吧。一、SQL语句是什么?了解求和方法之前,我们得先了解SQL语句是什么。SQL是什么?1.SQL全名Structured Query Language:...
sql语句中问号?的使用
带参数的 SQL 语句可能如下所示,其中“?”表示代表作者 ID 的参数: SELECT title_id FROM titleauthor WHERE (au_id = ?) 可使用参数的位置 可以将参数用作文本值(文本值或数值)的占位符。最常见的是,...
MS-SQL Server

34,576

社区成员

254,587

社区内容

发帖
与我相关
我的任务
社区描述
MS-SQL Server相关内容讨论专区
社区管理员
  • 基础类社区
  • 二月十六
  • 卖水果的net
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章