string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险

最新推荐文章于 2019-05-27 23:10:17 发布
最新推荐文章于 2019-05-27 23:10:17 发布
阅读量2.9k 收藏 2
点赞数
文章标签: sql 测试 数据库 jquery session server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jirigala/article/details/5829455
版权
         private   void  StringFormat()
        {
             string  userName  =   " jiri'gala " ;
             string  password  =   " 123456 " ;
             string  sqlQuery  =   string .Format( " SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}' " , userName, password);
             //  通过接口定义,打开一个数据库
            IDbHelper dbHelper  =   new  SqlHelper();
             //  按指定的数据库连接串,打开数据库连接
            dbHelper.Open( " Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa; " );
            dbHelper.ExecuteNonQuery(sqlQuery);
            dbHelper.Close();
        }

 

收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。

 

看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:

 

代码
protected   void  btnLogin_Click( object  sender, EventArgs e)
    {
        MAction action  =   new  MAction(TableNames.Users);
         if (action.Fill( string .Format( " UserName='{0}' and Password='{1}' " , txtUserName.Text.Trim(), txtPassword.Text.Trim())))
        {
            Session[ " ID " =  action.Get < int > (Users.ID);
            action.Close();
            Response.Redirect( " Default.aspx " );
        }
         else
        {
            lbMsg.Text  =   " 用户密码错误! " ;
            action.Close();
        }
    }

 

 

当时的回复如下:

 

#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)

@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
作者: 路过秋天  
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407

 

 

 

一篇参考文章

简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性

 

 

 

将权限管理、工作流管理做到我能力的极致,一个人只能做好那么很少的几件事情。
<script type="text/javascript"> if ($ != jQuery) { $ = jQuery.noConflict(); } </script>
jirigala
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
sql 整改措施 注入_记一次Sql注入 解决方案
weixin_39542093的博客
12-29 400
老大反馈代码里面存在sql注入,这个漏洞会导致系统遭受攻击,定位到对应的代码,如下图所示imagelike 进行了一个字符串拼接,正常的情况下,前端传一个 cxk 过来,那么执行的sql就是select * from test where name like '%cxk%';好像没有什么问题,但是,如果被攻击了传了个 cxk%'; DELETE FROM test WHERE name like ...
C#参数化(防止SQL注入)
ICE FROG的博客
11-18 5485
/* * C#防止SQL注入攻击 * Author:ICE FROG * TIME:2016/4/20 *//* * SQL注入攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块漏洞上添加了一个类来处理这个问题: * SqlParameter - using
string.Format 并不能防止SQL注入攻击才对
金 色 的 草 棚
09-06 2234
<br />string.Format 并不能防止SQL注入攻击才对,由于死活特意测试证明一下的确存在SQL注入攻击危险 收藏 <br />        private void StringFormat()<br />        {<br />            string userName = "jiri'gala";<br />            string password = "123456";<br />            string sqlQuery =
String.Format用法
maozhuxigood
06-11 302
1、作为参数 名称 说明 Format(String, Object) 将指定的 String 中的格式项替换为指定的 Object 实例的值的文本等效项。 Format(String, array&l...
Nginx中防止SQL注入攻击的相关配置介绍
01-10
防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。 对于简单的情况,比如包含单引号’ , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。 用rewrite有个前提需要知道,一般用rewrite...
asp.net 防止SQL注入攻击
01-01
一、数据验证类 代码如下:parameterCheck.cs public class parameterCheck{ public static bool isEmail(string emailString){ return System.Text.RegularExpressions.Regex.IsMatch(emailString, “[‘\\w_-]+(\\...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
sql_string.rar_sqlstring.h_visual c
09-21
c++ 头文件sql_string.h源码
sql注入理解及防范
qq_41386300的博客
05-27 709
百度百科概念:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就...
利用拼接字符串可能导致SQL注入问题
zzcchunter的专栏
05-30 6913
package info.dyndns.oszc.Introduce; import java.sql.Connection; import java.sql.ResultSet; import java.sql.Statement; public class SQLInject { public static void read(String name) throws Exception
SQL注入的防范措施
qq_35420342的博客
05-20 1万+
通过正则表达校验用户输入首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符。然后继续校验输入数据中是否包含SQL语句的保留字,如:WHERE,EXEC,DROP等。现在让我们编写正则表达式来校验用户的输入吧,正则表达式定义如下:private static readonly Regex RegSystemThreats = new Regex(@"...
15.26数据库(26):MySQL提防SQL注入攻击
欧阳桫的技术博客
09-04 221
策略概述 如果对于用户提交上来的数据,不任何合法性校验,就执行SQL操作时,是很容易遭受SQL注入攻击的 下面提供了一个简单的注册攻击实例,能够删除服务器中的所有用户数据 最简单的校验策略包括:长度限制、不允许分号、不允许空白、不允许出现增删改查相关的关键字等 攻击实例 -- 用户注册逻辑 insert into person(name) values('?'); -- 用户提交上来...
SQL注入原理讲解,很不错!
热门推荐
stilling2006的专栏
01-21 39万+
原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网息被盗取的普遍担忧。 网络安全成为了现在互联网的焦点,
Sql语句用string.Format格式化
weixin_30242907的博客
10-23 2210
string strSql = string.Format(@"Select * from tb1 where UserName={0}", username);不能防止Sql注入,但是比拼接字符串节约内存,简洁直观 转载于:https://www.cnblogs.com/dennys/p/3385116.html...
java中String.Format用法
AlbenXie的博客
02-25 1万+
 1、名称 说明    Format(String, Object)  将指定的 String 中的格式项替换为指定的 Object 实例的值的文本等效项。    Format(String, array&lt;&gt;[]()[])  将指定 String 中的格式项替换为指定数组中相应 Object 实例的值的文本等效项。    Format(IFormatProvider, String...
java使用String.format生成sql语句时,用什么替换符来设置数据库字段为DateTime类型的字段的值
最新发布
07-15
在Java中,如果要使用String.format生成SQL语句并设置数据库字段为DateTime类型的值,可以使用`%tF %tT`替换符号来表示日期和时间。 - `%tF`:表示以"yyyy-MM-dd"格式输出日期。 - `%tT`:表示以"HH:mm:ss"格式输出时间。 例如,假设要生成一个INSERT语句来插入当前日期和时间到数据库中的DateTime字段,可以使用以下格式: ```java import java.util.Date; public class Main { public static void main(String[] args) { Date currentDate = new Date(); String sql = String.format("INSERT INTO table_name (datetime_column) VALUES ('%tF %tT')", currentDate, currentDate); System.out.println(sql); } } ``` 这将生成类似于以下格式的SQL语句: ``` INSERT INTO table_name (datetime_column) VALUES ('2022-01-01 12:34:56') ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值