sql server 存储过程注入

zhangfengyi 2019-12-03 05:19:54
以下是登录存储过程,之前是参数化,后来改成存储过程,漏洞检测工具检测到有sql注入,这个要怎样整 改


ALTER PROCEDURE [dbo].[Login_Login]

 @username varchar(30),

 @password varchar(50),

 @merchantno varchar(30),

 @usertype varchar(1)

AS

 

BEGIN

	declare @sql Nvarchar(4000)

	if @usertype ='1'--1商户

		begin

		   set @sql='select state,username,password,certificatinfo_name,certificateinfo,ModifyTime from userinfo where username='''+@username+''' and password='''+@password+''' and merchantno='''+@merchantno+''' and usertype=1'

		end

	else             --2管理员

		begin

		   set @sql='select state,username,password,certificatinfo_name,certificateinfo,ModifyTime from userinfo where username='''+@username+''' and password='''+@password+''' and usertype=2'

		end

		--print @sql

	exec (@sql)

END
...全文
120 7 打赏 收藏 转发到动态 举报
写回复
用AI写文章
7 条回复
切换为时间正序
请发表友善的回复…
发表回复
zhangfengyi 2019-12-04
  • 打赏
  • 举报
 回复
引用 6 楼 Hello World, 的回复:
[quote=引用 4 楼 zhangfengyi 的回复:]
[quote=引用 3 楼 Hello World, 的回复:]
不用拼接
ALTER PROCEDURE [dbo].[Login_Login] @username VARCHAR(30),

                                    @password VARCHAR(50),

                                    @merchantno VARCHAR(30),

                                    @usertype VARCHAR(1)

AS

    BEGIN

        SELECT  state,

                username,

                password,

                certificatinfo_name,

                certificateinfo,

                ModifyTime

        FROM    userinfo

        WHERE   username = @username AND password = @password AND   (merchantno = @merchantno OR usertype = '2');

    END;

我想返回查询结果怎么办[/quote]
执行了就有结果了[/quote]
可以了,所有的存储过程都要改下,
Hello World, 2019-12-04
  • 打赏
  • 举报
 回复
引用 4 楼 zhangfengyi 的回复:
[quote=引用 3 楼 Hello World, 的回复:]
不用拼接
ALTER PROCEDURE [dbo].[Login_Login] @username VARCHAR(30),

                                    @password VARCHAR(50),

                                    @merchantno VARCHAR(30),

                                    @usertype VARCHAR(1)

AS

    BEGIN

        SELECT  state,

                username,

                password,

                certificatinfo_name,

                certificateinfo,

                ModifyTime

        FROM    userinfo

        WHERE   username = @username AND password = @password AND   (merchantno = @merchantno OR usertype = '2');

    END;

我想返回查询结果怎么办[/quote]
执行了就有结果了
zhangfengyi 2019-12-04
  • 打赏
  • 举报
 回复
之前是拼接sql语句,通过exec (@sql)返回查询 结果的
zhangfengyi 2019-12-04
  • 打赏
  • 举报
 回复
引用 3 楼 Hello World, 的回复:
不用拼接
ALTER PROCEDURE [dbo].[Login_Login] @username VARCHAR(30),

                                    @password VARCHAR(50),

                                    @merchantno VARCHAR(30),

                                    @usertype VARCHAR(1)

AS

    BEGIN

        SELECT  state,

                username,

                password,

                certificatinfo_name,

                certificateinfo,

                ModifyTime

        FROM    userinfo

        WHERE   username = @username AND password = @password AND   (merchantno = @merchantno OR usertype = '2');

    END;

我想返回查询结果怎么办
Hello World, 2019-12-03
  • 打赏
  • 举报
 回复
不用拼接
ALTER PROCEDURE [dbo].[Login_Login] @username VARCHAR(30),

                                    @password VARCHAR(50),

                                    @merchantno VARCHAR(30),

                                    @usertype VARCHAR(1)

AS

    BEGIN

        SELECT  state,

                username,

                password,

                certificatinfo_name,

                certificateinfo,

                ModifyTime

        FROM    userinfo

        WHERE   username = @username AND password = @password AND   (merchantno = @merchantno OR usertype = '2');

    END;
吉普赛的歌 2019-12-03
  • 打赏
  • 举报
 回复
必须参数化: 
ALTER PROCEDURE [dbo].[Login_Login]
 @username varchar(30),
 @password varchar(50),
 @merchantno varchar(30),
 @usertype varchar(1)
AS
BEGIN
	declare @sql Nvarchar(MAX)
	if @usertype ='1'--1商户
		begin
		   set @sql='select state,username,password,certificatinfo_name,certificateinfo,ModifyTime from userinfo where username=@username and password=@password and merchantno=@merchantno and usertype=1'
		end
	else             --2管理员
		begin
		   set @sql='select state,username,password,certificatinfo_name,certificateinfo,ModifyTime from userinfo where username=@username and password=@password and usertype=2'
		end
		--print @sql
	EXEC sp_executesql @sql
		,N'@username varchar(30),
		 @password varchar(50),
		 @merchantno varchar(30),
		 @usertype varchar(1)'
		,@username
		,@password
		,@merchantno
		,@usertype
END
独木成林_ 2019-12-03
  • 打赏
  • 举报
 回复
從前台加密傳入進來對比
SQL Server加密与SQL注入
在你存储数据之前,SQL Server不会提供任何内置的工具来加密你的数据。如果你需要保护存储在SQL Server上的数据,我们给你两条建议:第一,你可以利用GRANT 和DENY关键字来控制你想哪个用户可以在SQL Server中读取的...
Sql serversql注入
使用参数化输入存储过程  3.使用参数集合与动态SQL  4.输入滤波  5.过滤LIKE条款的特殊字符  …如果有遗漏的也欢迎园子的大大们指教。  Sample:  var Shipcity;  ShipCity = Request.form ("ShipCity...
3天掌握SQL Server 2012 数据库
SQL Server是由Microsoft开发和推广...2012版本演示数据库的安装使用,SQL(Structured Query Language)语言、T-SQL语言,数据库的增删改查、函数、存储过程、事务等重要知识点,让学员轻松入门并快速掌握关系型数据库!
C#防SQL注入代码的三种方法
 三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法  C#防SQL...
SQL Server中视图,存储过程注入
存储过程优点三.SQL注入1.SQL注入概念2.如何防止SQL注入(1)不要使用动态SQL(2)不要将敏感数据保留在纯文本中(3)限制数据库权限和特权(4)避免直接向用户显示数据库错误(5)使用Web应用程序防火墙(WAF)(6)将数据库...
应用实例

27,579

社区成员

68,558

社区内容

发帖
与我相关
我的任务
社区描述
MS-SQL Server 应用实例
社区管理员
  • 应用实例社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章