Delphi考虑sql注入 QuotedStr

之前只在BS架构的项目中考虑了Sql注入问题,却很少考虑到用了多年的Delphi项目也应该考虑Sql注入的问题,今天做了个实验,成功完成注入,把表里数据全部删除,以后再做Delphi项目还真的考虑这个问题。

总体讲,大体知道有两种方式可以避免Delphi中的Sql注入:1、用QuotedStr替代'''进行字符串拼接;2、采用传参数的方式与数据库交互,这种方式哪天再仔细体验一下。

 

以下为一个小测试,一个简单的插入语句,如果Edit1内容为
abc') delete from tb1 insert into tb1(Id, Name) values(123, 'xxxx
则运行后,tb1表中之前数据将全部清除,只剩下insert into tb1(Id, Name) values(123, 'xxxx
添加的一条

 

[delphi] view plaincopy
 
  1. procedure TForm1.Button1Click(Sender: TObject);  
  2. var  
  3.   sqlStr: String;  
  4. begin  
  5.   sqlStr := 'insert into tb1(Id, Name) values(1, ''' + edit1.Text + ''')';  
  6.   self.ADOQuery1.SQL.Text := sqlStr;  
  7.   self.ADOQuery1.ExecSQL;  
  8.   ShowMessage('成功完成Sql注入');  
  9. end;  

 

 

改成sqlStr := 'insert into tb1(Id, Name) values(1, ' + QuotedStr(edit1.Text) + ')';

则可避免。

 

QuotedStr参考如下语句: 

adoquery1.sql.text:=
'select 字符型编号 from YourTable where 字符型编号='abc' and 整型编号=123';
等价于
adoquery1.sql.text:=
'select '+AFieldName+' from '+ATableName+' where '+AFieldName
+'='''+AStr+''' and 整型编号='+AnIntStr;
也等价于
adoquery1.sql.text:=
'select '+AFieldName+' from '+ATableName+' where '+AFieldName
+'='+QuotedStr(AStr)+' and 整型编号='+Inttostr(AnInt);
传到数据库服务器为:
select 字符型编号 from YourTable where 字符型编号='abc' and 整型编号=123

posted on 2015-09-03 20:20  雪夜  阅读(1288)  评论(0编辑  收藏  举报

Powered by: 博客园 Copyright © 2025 雪夜
Powered by .NET 9.0 on Kubernetes