string.Format 并不能防止SQL注入攻击才对，由于死活不信邪，特意做了测试来证明一下的确存在SQL注入攻击危险

private void StringFormat()
        {
            string userName = "jiri'gala";
            string password = "123456";
            string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'", userName, password);
            // 通过接口定义，打开一个数据库
            IDbHelper dbHelper = new SqlHelper();
            // 按指定的数据库连接串，打开数据库连接
            dbHelper.Open("Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa;");
            dbHelper.ExecuteNonQuery(sqlQuery);
            dbHelper.Close();
        }

收到一封博客园网友的回复后，我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。

看原文的，从表面上，绝对是没防止SQL注入攻击，除非是底层又进行了处理，否则很明显是存在注入攻击的，源码如下：

代码

protected void btnLogin_Click( object sender, EventArgs e)
    {
        MAction action = new MAction(TableNames.Users);
         if (action.Fill( string .Format( " UserName='{0}' and Password='{1}' " , txtUserName.Text.Trim(), txtPassword.Text.Trim())))
        {
            Session[ " ID " ] = action.Get < int > (Users.ID);
            action.Close();
            Response.Redirect( " Default.aspx " );
        }
         else
        {
            lbMsg.Text = " 用户密码错误! " ;
            action.Close();
        }
    }

当时的回复如下：

#Re:CYQ.Data 轻量数据层之路华丽升级 V1.3出世(五)

@吉日嘎拉不仅权限管理
这样写是看起来好看点，和你组合一个样。
注入的问题，写法无关。
你可以测试一下，成功注入了再留个言。

作者: 路过秋天
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407

一篇参考文章

简单高效防注入攻击的动态多参数、动态SQL语句拼接方法，提高网站的安全性

将权限管理、工作流管理做到我能力的极致，一个人只能做好那么很少的几件事情。

posted on 2010-08-21 18:12 吉日嘎拉不仅权通用权限阅读(821) 评论(18) 编辑收藏

#1楼　回复　引用　查看　第一回听说string.Format能防sql注入，如果是ADO.NET的话，应该是指用SqlParamter方式来传递参数，这样才能防止Sql注入

"SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}'"

用户名如果为 ' or '1=1 上面的语句，相当于

Where UserName='' or '1=1'

后面的密码判断条件直接绕过了

2010-08-21 18:19 | 菩提树下的杨过

#2楼  　回复　 引用　

string.Format 和字符串拼接从结果上来说是一样的。
区别只是在效率和可读性上面吧

2010-08-21 18:27 | dfgdfgdfg[未注册用户]

#3楼 [楼主] 　回复　 引用　 查看　

@菩提树下的杨过

你的回复，非常棒，我也总觉得 string.Format 没那么神奇，但是又不能完全不信邪，所以特意写了一段测试代码，验证一下有注入漏洞。

2010-08-21 18:29 | 吉日嘎拉不仅权限管理

#4楼  　回复　 引用　 查看　

前几天看见好多找工作的人都是用string.Format传参。。

2010-08-21 18:31 | 马老虎

#5楼  　回复　 引用　 查看　

没看出有什么结论

2010-08-21 18:32 | 温景良(Jason)

#6楼  　回复　 引用　 查看　

引用马老虎：前几天看见好多找工作的人都是用string.Format传参。。

其实这东西也并非绝对不能用，如果在能保证参数绝对安全的情况下，用用也是很方便的(比如参数不是用户输入的，且在拼接前已经对危险字符做了过渡处理)，凡事存在即合理.

2010-08-21 18:37 | 菩提树下的杨过

#7楼  　回复　 引用　 查看　

谁说string.Format可以防止注入式攻击的，瞎说

2010-08-21 18:37 | 风游西瓜

#8楼  　回复　 引用　 查看　

很明显format不能防注入啊，到最后还是传字符串过去，防什么啊，谁忽悠人呢？

2010-08-21 18:38 | 尘尘

#9楼  　回复　 引用　 查看　

吉日兄一贯以忽悠他人见长，想不到今日也被他人忽悠了，哈

2010-08-21 18:45 | 菩提树下的杨过

#10楼  　回复　 引用　 查看　

我一直不明白为什么这么多人一直在讨论SQL注入的问题，还写出各种各样的防注入代码，难道ado.net参数化sql语句还是能注入吗？

2010-08-21 21:15 | wuyou331

#11楼 [楼主] 　回复　 引用　 查看　

主要是我也真的不敢乱自以为是啊，有些东西没经过实战还是不能乱下结论。

引用菩提树下的杨过：吉日兄一贯以忽悠他人见长，想不到今日也被他人忽悠了，哈

2010-08-21 22:05 | 吉日嘎拉不仅权限管理

#12楼  　回复　 引用　 查看　

恩吉日是实战派，不玩 string.Formart这种理论性的语法。

2010-08-22 09:47 | 活雷锋

#13楼  　回复　 引用　 查看　

第一次听说string.Format能防止注入，汗颜，外加佩服。

2010-08-22 10:57 | 菜鸟毛

#14楼  　回复　 引用　 查看　

原文作者来了：
对于原话解释一下：
这样写是看起来好看点，和你组合一个样。
--这句是说，写起来好看优雅点，和你写UserName='"+txtUserName.Text.+"'"之类的组合是一样的。

注入的问题，写法无关。
--这是说：上面的写法，和注入无关，并不是说能防注入。

你可以测试一下，成功注入了再留个言。
--测试是指对框架测试，不是对string.format的测试。

2010-08-22 13:31 | 路过秋天

#15楼  　回复　 引用　 查看　

引用路过秋天：
原文作者来了：
对于原话解释一下：
这样写是看起来好看点，和你组合一个样。
--这句是说，写起来好看优雅点，和你写UserName='"+txtUserName.Text.+"'"之类的组合是一样的。

注入的问题，写法无关。
--这是说：上面的写法，和注入无关，并不是说能防注入。

你可以测试一下，成功注入了再留个言。
--测试是指对框架测试，不是对string.format的测试。

我狂晕！

2010-08-23 12:48 | 风雨者2