| ●之所以旧事重提,只是想给那些还没接触到的...... 之所以旧事重提,只是想给那些还没接触到的人提个醒,顺便听听众位高手们的看法,好学习学习。 我们在编程过程中,经常会把用户输入的数据拼成一个SQL语句,然后直接发送给服务器执行,比如: string SqlStr = "select * from customers where CompanyName Like '%" + textBox1.Text + "%'"; 这样的字符串连接可能会带来灾难性的结果,比如用户在文本框中输入: a' or 1=1 -- 那么SqlStr的内容就是: select * from customers where CompanyName like '%a' or 1=1 --%' 这样,整个customers数据表的所有数据就会被全部检索出来,因为1=1永远true,而且最后的百分号和单引号被短横杠注释掉了。 如果用户在文本框中输入: a' EXEC sp_addlogin 'John' ,'123' EXEC sp_addsrvrolemember 'John','sysadmin' -- 那么SqlStr的内容就是: select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John','123' EXEC sp_addsrvrolemember 'John','sysadmin' -- 这个语句是在后台数据库中增加一个用户John,密码123,而且是一个sysadmin账号,相当于sa的权限。 如果用户在文本框中输入: a' EXEC xp_cmdShell('format c:/y') -- 运行之后好像是格式化C盘! 还有很多更危险的操作,不过都没试过。还是存储过程好用啊,存储过程的参数把用户的输入当成真正的字符串处理,既安全,又快速! |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 11:41 , Processed in 0.165700 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
