string.Format 并不能防止SQL注入攻击才对，由于死活不信邪，特意做了测试来证明一下的确存在SQL注入攻击危险

        private void StringFormat()
        {
            string userName = "jiri'gala";
            string password = "123456";
            string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
            // 通过接口定义，打开一个数据库
            IDbHelper dbHelper = new SqlHelper();
            // 按指定的数据库连接串，打开数据库连接
            dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
            dbHelper.ExecuteNonQuery(sqlQuery);
            dbHelper.Close();
        }

 

收到一封博客园网友的回复后，我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。

 

看原文的，从表面上，绝对是没防止SQL注入攻击，除非是底层又进行了处理，否则很明显是存在注入攻击的，源码如下：

 

protected void btnLogin_Click(object sender, EventArgs e)
    {
        MAction action = new MAction(TableNames.Users);
        if(action.Fill(string.Format("UserName='{0}' and Password='{1}'", txtUserName.Text.Trim(), txtPassword.Text.Trim())))
        {
            Session["ID"] = action.Get<int>(Users.ID);
            action.Close();
            Response.Redirect("Default.aspx");
        }
        else
        {
            lbMsg.Text = "用户密码错误!";
            action.Close();
        }
    }

 

 

当时的回复如下：

 

#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)

@吉日嘎拉 不仅权限管理
这样写是看起来好看点，和你组合一个样。
注入的问题，写法无关。
你可以测试一下，成功注入了再留个言。

---

作者: 路过秋天  
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407

 

 

 

一篇参考文章

简单高效防注入攻击的动态多参数、动态SQL语句拼接方法，提高网站的安全性