【ASP.NET】——SQL注入
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了【ASP.NET】——SQL注入,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2647字,纯文字阅读大概需要4分钟。
内容图文
关于SQL注入,师父给验收项目的时候就提过。但一直也没深入去想是怎么回事~~在学ASP.NET,做新闻发布系统的时候,又遇到了,这次不能放过了~~
定义
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.——百度百科
实验
系统中增加新闻类别SQL语句:
insert intocategoryinfo(name)values (‘" + caName + "‘)
当我们在界面输入:娱乐八卦,点击增加新闻类别时
娱乐八卦将替换" + caName + "而执行。
于是,当我们在文本框中输入:
娱乐新闻‘)delete categoryinfo where id=13--
这段替换了" + caName + "会形成:
insert into categoryinfo(name)values (‘娱乐新闻‘)delete categoryinfo where id=4--‘)";
相当于:
insert into categoryinfo(name)values (‘娱乐新闻‘);
delete categoryinfo where id=4--‘)";
于是执行后前后对比效果为:
前: 后:
这就是SQL注入的一种效果。通过这种方法,将我们的数据库进行了破坏。通过SQL注入,是黑客得到数据库内部信息的一种方法,为了咱们系统的安全性,我们需要做好防护。
如何避免:
对于上面的这种SQL注入,有效的方法就是:用传参进行SQL语句,不用拼接字符串。传字符串语句:
public int test() { int res; using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn())) { cmd.Parameters .Add(new SqlParameter ("@caName","SQL注入成功")); res = cmd.ExecuteNonQuery(); } return res; }
改为传参:
public int test() { int res; using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn())) { cmd.Parameters.Add(new SqlParameter("@caName", "'娱乐新闻')delete categoryinfo where id=4--"));//SQL注入失败 res = cmd.ExecuteNonQuery(); } return res; }
这只是一种避免方法。
那平时我们需要做哪些防护呢:
1.限制用户非正确格式输入。
2.对特殊字符进行转换。即“’”在SQL语句运行时,已不再是“‘”,可能是一个数字,这样就不会再对SQL语句造成混乱。
3.报错时,尽可能减少信息量。最好将错误信息进行包装。因为专业人可以根据报的黄页分析出库里有哪些表等信息......
4.将重要信息进行加密。以免轻易泄露。
5.不用拼接字符串... ......
这是我所能想到的一些特别基础的预防方法~肯定还有更高级的手段。这还需要我们继续探索!
【ASP.NET】——SQL注入
标签:sql 安全漏洞 数据库 sql注入 黑客
本文系统来源:http://blog.csdn.net/onlybymyself/article/details/46482715
内容总结
以上是互联网集市为您收集整理的【ASP.NET】——SQL注入全部内容,希望文章能够帮你解决【ASP.NET】——SQL注入所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。