不要相信使用Parameter安全调用分页存贮过程会没有SQL注入
不要相信使用Parameter安全调用分页存贮过程会没有SQL注入:
如:
DbParameter[] dbParams = {
Data.MakeInParam("@PageIndex", (DbType)SqlDbType.Int, 4, pageIndex),
Data.MakeInParam("@PageSize", (DbType)SqlDbType.Int, 4, pageSize),
Data.MakeInParam("@Tables", (DbType)SqlDbType.NVarChar, 1000, tableName),
Data.MakeInParam("@Fields", (DbType)SqlDbType.NVarChar, 2000, fieldList),
Data.MakeInParam("@Where", (DbType)SqlDbType.NVarChar, 2000, where),
Data.MakeInParam("@GroupBy", (DbType)SqlDbType.NVarChar, 2000, groupBy),
Data.MakeInParam("@OrderBy", (DbType)SqlDbType.NVarChar, 1000, orderBy),
Data.MakeOutParam("@ReturnCount", (DbType)SqlDbType.Int, totalRecords),
};
list = Data.GetDbDataReader("getPagerROWOVER", dbParams).ToList<TResult>();
这种调用也存在SQL注入.
我想查询News表中Title存在"博客园"的文章:
PageIndex = 1
PageSize = 20
Tables = "News"
Fields = "*"
Where = "Title like '%博客园%'"
GroupBy = ""
OrderBy = "NewsID Desc"
这种写法是正确的。
当用户输入“''%' or 1=1;--” 一样存在SQL注入。
当拼接Where值的时候取到文本框的值一定也要过滤非法字符。
SQL会自动组合成:
select * from News where Title like '%博客园%' 正确
select * from News where Title like '''%''''''%''' or 1=1;--%'' 存在注入
完
开源:
https://github.com/hcxiong 欢迎收藏:)
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 单线程的Redis速度为什么快?
· SQL Server 2025 AI相关能力初探
· 展开说说关于C#中ORM框架的用法!
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?