ASP.NET防注入

hao2629 2012-04-05 05:32:41

ASP.NET里防注入
网上有说command传参
过滤sql语句
还有就是写存储过程
到底用哪个好？

...全文

202 13 打赏收藏转发到动态举报

写回复

用AI写文章

13 条回复

切换为时间正序

请发表友善的回复…

发表回复

古龙老子 2012-04-06

打赏
举报

人家根本就没通过你的程序,谁要网站探针，给我发信息zhuguibiao@126.com 我发个东西给你们瞧瞧，就明白了

anzhiqiang_touzi 2012-04-06

打赏
举报

参数

全栈极简 2012-04-05

打赏
举报

一般来说都要求参数化，如果业务比较复杂，就可以封装成一个存储过程，请注意，存储过程一定要带参数，这样才可以，否则跟sql语句没区别。

IT-Style 2012-04-05

打赏
举报

参数化

happytonice 2012-04-05

打赏
举报

参数化

zaobanche 2012-04-05

打赏
举报

sql预编译！

hao2629 2012-04-05

打赏
举报

写存储过程就能防注入？



  public bool Login(UserInfo info)

        {

            string sql =string.Format("pro_Login");

            SqlParameter[] values = new SqlParameter[] { new SqlParameter("@name", info.Name), new SqlParameter("@pass", info.Pass) };

            int result = Convert.ToInt32(DBHlper.getSR(sql, values));

            if (result > 0)

            {

                return true;

            }

            else

            {

                return false;

            }

           

        }

这样？然后需要的时候再调用这方法？

hao2629 2012-04-05

打赏
举报

[Quote=引用 1 楼的回复:]
我一般用参数化，方便
如果操作频繁，那最好定义一个存储过程
[/Quote]
假如是个交易网站所有的数据操作更删改查的语句写存储过程？用您所说的传参是否也可行？

tan598121925 2012-04-05

打赏
举报

存储过程

Mirror然 2012-04-05

打赏
举报

[Quote=引用 3 楼的回复:]

引用 2 楼的回复:
都好用
你可以参考

SQL 注入
http://msdn.microsoft.com/zh-cn/library/ms161953%28SQL.105%29.aspx

预防SQL 注入攻击的解决方案
http://www.microsoft.com/china/smb/local/security/sql/default.aspx

那就是把每个……
[/Quote]

只要和数据库有关系的操作都利用传参操作
其次就是数据库安全的问题都要重视

hao2629 2012-04-05

打赏
举报

[Quote=引用 2 楼的回复:]
都好用
你可以参考

SQL 注入
http://msdn.microsoft.com/zh-cn/library/ms161953%28SQL.105%29.aspx

预防SQL 注入攻击的解决方案
http://www.microsoft.com/china/smb/local/security/sql/default.aspx
[/Quote]
那就是把每个更删改查的语句以及传参的方法全部写过下？

孟子E章 2012-04-05

打赏
举报

都好用
你可以参考

SQL 注入
http://msdn.microsoft.com/zh-cn/library/ms161953%28SQL.105%29.aspx

预防SQL 注入攻击的解决方案
http://www.microsoft.com/china/smb/local/security/sql/default.aspx