private void StringFormat()
{
string userName = "jiri'gala";
string password = "123456";
string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
// 通过接口定义,打开一个数据库
IDbHelper dbHelper = new SqlHelper();
// 按指定的数据库连接串,打开数据库连接
dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
dbHelper.ExecuteNonQuery(sqlQuery);
dbHelper.Close();
}
收到一封博客园网友的回复后,我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。
看原文的,从表面上,绝对是没防止SQL注入攻击,除非是底层又进行了处理,否则很明显是存在注入攻击的,源码如下:
{
MAction action = new MAction(TableNames.Users);
if (action.Fill( string .Format( " UserName='{0}' and Password='{1}' " , txtUserName.Text.Trim(), txtPassword.Text.Trim())))
{
Session[ " ID " ] = action.Get < int > (Users.ID);
action.Close();
Response.Redirect( " Default.aspx " );
}
else
{
lbMsg.Text = " 用户密码错误! " ;
action.Close();
}
}
当时的回复如下:
@吉日嘎拉 不仅权限管理
这样写是看起来好看点,和你组合一个样。
注入的问题,写法无关。
你可以测试一下,成功注入了再留个言。
作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407
一篇参考文章
简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
posted on 2010-08-21 18:12 吉日嘎拉 不仅权通用权限 阅读(821) 评论(18) 编辑 收藏
评论
1916755"SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'"
用户名如果为 ' or '1=1 上面的语句,相当于
Where UserName='' or '1=1'
后面的密码判断条件直接绕过了
#2楼 回复 引用
string.Format 和字符串拼接从结果上来说是一样的。区别只是在效率和可读性上面吧
#3楼[楼主] 回复 引用 查看
@菩提树下的杨过你的回复,非常棒,我也总觉得 string.Format 没那么神奇,但是又不能完全不信邪,所以特意写了一段测试代码,验证一下有注入漏洞。
#4楼 回复 引用 查看
前几天 看见好多找工作的人都是用string.Format传参。。#5楼 回复 引用 查看
没看出有什么结论#6楼 回复 引用 查看
其实这东西也并非绝对不能用,如果在能保证参数绝对安全的情况下,用用也是很方便的(比如参数不是用户输入的,且在拼接前已经对危险字符做了过渡处理),凡事存在即合理.
#7楼 回复 引用 查看
谁说string.Format可以防止注入式攻击的,瞎说#8楼 回复 引用 查看
很明显format不能防注入啊,到最后还是传字符串过去,防什么啊,谁忽悠人呢?#9楼 回复 引用 查看
吉日兄一贯以忽悠他人见长,想不到今日也被他人忽悠了,哈#10楼 回复 引用 查看
我一直不明白为什么这么多人一直在讨论SQL注入的问题,还写出各种各样的防注入代码,难道ado.net参数化sql语句还是能注入吗?#11楼[楼主] 回复 引用 查看
主要是我也真的不敢乱自以为是啊,有些东西没经过实战还是不能乱下结论。#12楼 回复 引用 查看
恩 吉日是实战派,不玩 string.Formart这种 理论性 的语法。#13楼 回复 引用 查看
第一次听说string.Format能防止注入,汗颜,外加佩服。#14楼 回复 引用 查看
原文作者来了:对于原话解释一下:
这样写是看起来好看点,和你组合一个样。
--这句是说,写起来好看优雅点,和你写UserName='"+txtUserName.Text.+"'"之类的组合是一样的。
注入的问题,写法无关。
--这是说:上面的写法,和注入无关,并不是说能防注入。
你可以测试一下,成功注入了再留个言。
--测试是指对框架测试,不是对string.format的测试。
#15楼 回复 引用 查看
我狂晕!
#16楼 回复 引用 查看
string.Format()不属于数据库操作方法,微软再人性化,也不会把防注入功能设计到这个方法中,否则用于其他操作时就影响效率了。#17楼 回复 引用 查看
我是个菜鸟也知道这个和拼接字符串结果一样。。。只是可读性好罢了#18楼 回复 引用 查看
学习了,呵呵!