----------------------Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------
防止SQL注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值。
使用SQL语句拼接时,用密码1' or '1'='1,可以登录成功。所以为了网站的安全,还是通过参数赋值的方式来登陆。
class Program { static void Main(string[] args) { Console.WriteLine("请输入用户名:"); string username = Console.ReadLine(); Console.WriteLine("请输入密码:"); string pwd = Console.ReadLine(); using (SqlConnection conn = new SqlConnection("data source=.;database=ado;uid=ado;pwd=123;")) { conn.Open(); using (SqlCommand cmd = new SqlCommand()) { cmd.Connection = conn; cmd.CommandText = "select count(*) from users where username='" + username + "'and password='" + pwd + "'"; //用以上的SQL语句拼接,会出现注入漏洞。。。。。用密码1' or '1'='1,都能登录成功 //参数赋值 //cmd.CommandText = "select count(*) from users where username=@UN and password=@PWD"; //cmd.Parameters.Add(new SqlParameter("UN", username)); //cmd.Parameters.Add(new SqlParameter("PWD", pwd)); int i = Convert.ToInt32(cmd.ExecuteScalar()); if (i > 0) { Console.WriteLine("登录成功"); } else { Console.WriteLine("用户名或密码错误!"); } } } Console.ReadKey(); } }
----------------------Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------