在代码中使用了大量像这样的Sql 语句:
InitializeComponent();
string s = "select * from tableName where id = ‘"+this.textBox1.Text.Trim()+"'";
今天看书发现这样写很危险!恶意用户可以凭借这段代码干掉我的数据库!
比如在textbox1里边输入下边的东西:
123';drop table Table1--
之后,Sql语句成了这样:
select * from tableName where id= '123';drop table Table1—'
这在SqlServer是完全可以执行下去的。结果是查询了一下,不管有没有找到想要的东西,然后就把表Table1给删掉了!
后来改了成这样子:
SqlCommand cmd = new SqlCommand();
cmd.CommandText = "select * from tableName where id = @id";
cmd.Parameters.Add("id","12345");
cmd.ExecuteNonQuery();
这样就可以避免上边说的那种情况。
一下子,工作量又来了!
不过长了点知识,挺高兴的!
后来查了下,这叫注入式攻击!乖乖,一千年前都有的东西还让我BUG了!
