ASP.NET防SQL注入方法のParameters属性传参 && LING技术

在判断用户输入的用户名和密码是否和数据库中的相同时，更需要注意的就是SQL注入式攻击，

SQL注入式攻击是指利用设计上的漏洞，在目标服务器上运行SQL命令以及进行其他方式的攻击。

下面是一个简单的例子：

在登录的时候，我在用户名一栏输入℉бrrest，那么所执行的SQL语句就是：

SELECT COUNT(*) FROM db_student WHERE StuUserName='℉бrrest';

通过上面的语句可以在数据库中查询中一条StuUserName字段名为℉бrrest的用户信息，

但是如果我在文本框中输入℉бrrest or ’1′=’1′，

这样我们再来执行SQL语句：

SELECT COUNT(*) FROM db_student WHERE StuUserName='℉бrrest' OR '1'='1';

这样一条SQL语句就能够查找出db_student表中的所有记录，这就是传说中的SQL注入。

接下来介绍两种防止SQL注入式攻击的方法：

方法一、使用SqlCommand.Parameters属性传参过滤非法字符。一个简单登录页面事例代码：

            SqlConnection Con = new SqlConnection(ConfigurationManager.AppSettings["conStr"]);//连接字符串
            Con.Open();//打开数据库
            string strlogin = "select count(*) from tb_student where StuUsername=@name and StuPassword=@pwd";
            SqlCommand com = new SqlCommand(strlogin, Con);//创建SqlCommand对象
 
            com.Parameters.Add(new SqlParameter("@name", SqlDbType.NVarChar, 50));//设置参数名，类型，长度
            com.Parameters["@name"].Value = TextBox1.Text;//设置参数值
            com.Parameters.Add(new SqlParameter("@pwd", SqlDbType.NVarChar, 50));
            com.Parameters["@pwd"].Value = TextBox2.Text;
 
            if (Convert.ToInt32(com.ExecuteScalar()) &gt; 0)
            {
                Response.Write("&lt;script&gt;alert('登录成功！')&lt;/script&gt;");
                Response.Redirect("stu_award.aspx");
            }
            else
            {
                Response.Write("&lt;script&gt;alert('用户名或密码错误，请重新输入！')&lt;/script&gt;");
                TextBox1.Text = "";
                TextBox2.Text = "";
                TextBox3.Text = "";
            }

方法二、使用LING防止SQL注入式攻击

LING to SQL在用户数据存取时，清除了SQL注入式攻击的存在，LING在每次执行查询时都加上了具体的参数，

例如我依然是在文本框中输入℉бrrest or ’1′=’1′，则LING会产生以下语句：

SELECT [t0].[StuUserName],[t0].[StuPassword],
 
FROM [dbo].[tb_student] AS [t0]
 
WHERE [t0].[StuUserName]=@p0

可以看出，WHERE子句被自动加上了参数，跟第一种方法原理类似，下面是一段事例代码：

protected void Button1_Click(object sender, EventArgs e)
    {
        string name = TextBox1.Text;//获取登录名
        string pass = TextBox2.Text;//获取密码
        LinqDataDataContext ldc=new LinqDataDataContext();//创建LINQ对象
        //创建LINQ查询语句，查询到满足指定登录名和密码的用户
        var result = from v in ldc.userManage
                     where v.StuUsername == name &amp;&amp; v.StuPassword == pass
                     select v;
        if (result.Count() &gt; 0)//查询到指定用户
        {
            RegisterStartupScript("", "&lt;script&gt;alert('登录成功！')&lt;/script&gt;");
        }
        else   //未查询到指定用户
        {
            RegisterStartupScript("", "&lt;script&gt;alert('登录失败！')&lt;/script&gt;");
        }
    }

客服电话

电子邮件

请发表评论

全部评论

上一篇：

下一篇：

关于我们

产品与服务

解决方案

139-2527-9053