private
void
StringFormat()
{
string userName = " jiri'gala " ;
string password = " 123456 " ;
string sqlQuery = string .Format( " SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}' " , userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open( " Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa; " );
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
{
string userName = " jiri'gala " ;
string password = " 123456 " ;
string sqlQuery = string .Format( " SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}' " , userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open( " Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa; " );
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。
看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:
代码
protected
void
btnLogin_Click(
object
sender, EventArgs e)
{
MAction action = new MAction(TableNames.Users);
if (action.Fill( string .Format( " UserName='{0}' and Password='{1}' " , txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session[ " ID " ] = action.Get < int > (Users.ID);
action.Close();
Response.Redirect( " Default.aspx " );
}
else
{
lbMsg.Text = " 用户密码错误! " ;
action.Close();
}
}
{
MAction action = new MAction(TableNames.Users);
if (action.Fill( string .Format( " UserName='{0}' and Password='{1}' " , txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session[ " ID " ] = action.Get < int > (Users.ID);
action.Close();
Response.Redirect( " Default.aspx " );
}
else
{
lbMsg.Text = " 用户密码错误! " ;
action.Close();
}
}
当时的回复如下:
#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
一篇参考文章
简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
将权限管理、工作流管理做到我能力的极致,一个人只能做好那么很少的几件事情。
<script type="text/javascript"> if ($ != jQuery) { $ = jQuery.noConflict(); } </script>