string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险
2010-08-21 18:12 通用C#系统架构 阅读(4813) 评论(18) 编辑 收藏 举报
收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:
private void StringFormat()
{
string userName = "jiri'gala";
string password = "123456";
string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
{
string userName = "jiri'gala";
string password = "123456";
string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。
看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:
代码
protected void btnLogin_Click(object sender, EventArgs e)
{
MAction action = new MAction(TableNames.Users);
if(action.Fill(string.Format("UserName='{0}' and Password='{1}'", txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session["ID"] = action.Get<int>(Users.ID);
action.Close();
Response.Redirect("Default.aspx");
}
else
{
lbMsg.Text = "用户密码错误!";
action.Close();
}
}
{
MAction action = new MAction(TableNames.Users);
if(action.Fill(string.Format("UserName='{0}' and Password='{1}'", txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session["ID"] = action.Get<int>(Users.ID);
action.Close();
Response.Redirect("Default.aspx");
}
else
{
lbMsg.Text = "用户密码错误!";
action.Close();
}
}
当时的回复如下:
#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
一篇参考文章
简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
将权限管理、工作流管理做到我能力的极致,一个人只能做好那么很少的几件事情。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 单线程的Redis速度为什么快?
· SQL Server 2025 AI相关能力初探
· 展开说说关于C#中ORM框架的用法!
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?