数据库开发及ADO.NET(37)——SQL注入漏洞攻击、查询参数、App.Config

最新推荐文章于 2024-06-28 08:30:00 发布
最新推荐文章于 2024-06-28 08:30:00 发布
阅读量214 收藏 1
点赞数
分类专栏: SQL ADO.NET 文章标签: 注入漏洞攻击 参数化 Parameters connectionStrings App.Config
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34573534/article/details/100187006
版权
SQL 同时被 2 个专栏收录
83 篇文章 4 订阅
订阅专栏
ADO.NET
66 篇文章 1 订阅
订阅专栏

一、SQL注入漏洞攻击

1、登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。

2、构造恶意的Password:' or '1'='1

if (reader.Read())
{
    Console.WriteLine("登录成功");
}
else
 {
    Console.WriteLine("登录失败");
}

如:

 using (SqlCommand cmd = conn.CreateCommand())
                {
                    string password = "' or '1'='1";
                    cmd.CommandText = "select * from T_Users where UserName='admin' and Password='" + password+"'";
                    using (SqlDataReader reader = cmd.ExecuteReader())
                    {
                        if (reader.Read())
                        {
                            Console.WriteLine("登录成功");
                        }
                        else
                        {
                            Console.WriteLine("登录失败");
                        }
                    }
                }

3、防范注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值。

二、查询参数

4、SQL语句使用@UserName表示“此处用参数代替”,向SqlCommandParameters中添加参数:

cmd.CommandText = "select * from T_Users where UserName=@UserName and Password=@Password";
cmd.Parameters.Add(new SqlParameter("UserName","admin"));
cmd.Parameters.Add(new SqlParameter("Password",password));

5、参数在SQLServer内部不是简单的字符串替换,SQLServer直接用添加的值进行数据比较,因此不会有注入漏洞攻击

6、将连接字符串写在代码中的缺点:多次重复,违反了DRY(Don't Repeat Yourself)原则;DRY俗话就是:不要拷代码。如果要修改连接字符串就要修改代码。将连接字符串写在App.Config中:

  • 添加App.config文件(文件名不能改):添加→新建项→常规→应用程序配置文件。App.config是.Net的通用配置文件,在ASP.Net中也能同样使用
  • 在App.config中添加connectionStrings段,添加一个add项,用name属性起一个名字(比如DbConnStr),connectionString属性指定连接字符串
  • 在“引用”节点上点右键“添加引用”,找到System.configuration。不是所有.Net中的类都能直接调用,类所在的Assembly要被添加到项目的引用中才可以。
  • ConfigurationManager.ConnectionStrings[" DbConnStr "].ConnectionString得到连接字符串。
  • 如何在部署的程序中修改配置。

7、案例:省市选择程序:

(1)ComboBox的显示值:Items.Add的参数是Object类型,也就是可以放任意数据类型的数据,可以设置DisplayMember属性设定显示的属性,通过SelectedItem属性取得到就是选择的条目对应的对象。例子。疑问:取出来的是Object,怎么能转换为对应的类型?变量名只是“标签”。显示的值和实际的对象不一样,在ASP.Net中也有相同的东西。

(2)创建一个ProvinceItem类,将数据填充在这个对象中添加到ComboBox中。

(3)代码:

 private void Form1_Load(object sender, EventArgs e)
        {
            string connStr = ConfigurationManager.ConnectionStrings["DbConn"].ConnectionString;
            using (SqlConnection conn = new SqlConnection(connStr))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = "select * from promary";
                    using (SqlDataReader dataReader = cmd.ExecuteReader())
                    {
                        while (dataReader.Read())
                        {
                            ProvinceItem item = new ProvinceItem();
                            item.Id = dataReader.GetInt32(dataReader.GetOrdinal("proID"));
                            item.Name = dataReader.GetString(dataReader.GetOrdinal("proName"));
                            cmbProvince.Items.Add(item);
                        }
                    }
                }
            }
        }

        private void cmbProvince_SelectedIndexChanged(object sender, EventArgs e)
        {
            cmbCity.Items.Clear();
            ProvinceItem item = (ProvinceItem)cmbProvince.SelectedItem;
            string connStr = ConfigurationManager.ConnectionStrings["DbConn"].ConnectionString;
            using (SqlConnection conn = new SqlConnection(connStr))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = "select * from city where proID=@proID";
                    cmd.Parameters.Add(new SqlParameter("proID",item.Id));
                    using (SqlDataReader reader = cmd.ExecuteReader())
                    {
                        while (reader.Read())
                        {
                            string cityName = reader.GetString(reader.GetOrdinal("cityName"));
                            cmbCity.Items.Add(cityName);
                        }
                    }
                }
            }
        }
    }

    public class ProvinceItem
    {
        public int Id { get; set; }
        public string Name { get; set; }
    }

 

陆老师Peter
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET源码——[搜索链接]OKWW网址大全.zip
10-10
综上所述,这个压缩包中的ASP.NET源码可能涉及到Web Forms开发数据库操作、用户认证、页面布局和样式、客户端脚本等多个方面,是学习和理解ASP.NET Web开发的一个实例。通过分析和研究这些源码,开发者能够提升...
ADO.NET字符串注入攻击与防御
weixin_30765577的博客
04-24 94
一、字符串注入攻击 所谓sql字符串注入攻击就是在用户输入界面输入一串sql语句,来改变C#中连接数据库要执行的sql语句 通过你写的程序,直接来执行我想要执行的sql语句 例如:在这么一个程序中,sname是需要用户输入的内容。 在用户输入界面输入 a');update表名 set列名 ='字段名称;-- 假如你在输入时输入了这句代码:a');updatestud...
使用ADO.NET参数集合来有效防止SQL注入漏洞
weixin_33670713的博客
12-19 178
SQL注入漏洞是个老话题了,在以前做ASP做开发时,就经常需要用字符串的过虑等方式 来解决这个问题,但有时候确做的不够彻底,往往让黑客钻了空子。   那么目前在我们.NET中,不管是用WINFORM开发还是用WEBFORM,连接数据库时都 可以使用ADO.NET,在ADO.NET中,可以设置和获取命令对象的参数来有效的防止SQL 注入问题。不过,在网上查看很多有关ASP.NET的防注入贴...
.NET 漏洞分析 | 某ERP系统存在SQL注入
最新发布
ahhacker86的专栏
06-28 607
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
黑马程序员_ADO.Net(ExecuteReader,Sql注入参数添加,DataSet,总结DataSet与SqlDataReader )...
weixin_30821731的博客
08-06 172
转自https://blog.csdn.net/u010796875/article/details/17386131 一.执行有多行结果集的用ExecuteReader SqlDateReaderreader=cmd.ExecuteReader();//查询结果在数据库中,不占客户端电脑内存 While(reader.Reader()){ Console.WriteL...
数据库】SQL语句大全
热门推荐
小源的成长历程
07-11 1万+
一、基础1、创建数据库2、删除数据库3、备份sql server4、创建新表根据已有的表创建新表: 5、删除新表6、增加一个列注:列增加后将不能删除。DB2中列加上后数据类型也不能改变,唯一能改变的是增加varchar类型的长度。7、添加主键:删除主键:8、创建索引:删除索引:注:索引是不可更改的,想更改必须删除重新建。9、创建视图:删除视图:10、几个简单的基本的sql语句11、几个高级查询运算词A:UNION 运算符 UNION 运算符通过组合其他两个结果表(例如 TABLE1 和 TABLE2)并消去
C#数据库教程3-ADO.NET其它优化功能
04-16
在C#编程中,ADO.NET是用于访问关系型数据库的强大工具,特别适用于SQL Server数据库。本教程将深入探讨几个关键的ADO.NET优化功能,旨在提高应用程序的性能和安全性。 一、数据库语句注入漏洞 数据库语句注入是一...
ADO.NET 连接sql server数据库
01-09
在本场景中,我们将深入探讨如何使用ADO.NET通过C#语言连接到SQL Server数据库,并利用app.config文件进行外部配置。 首先,为了连接SQL Server数据库,我们需要使用`SqlConnection`类,它是ADO.NET中的核心组件之...
asp.net中ADO SQL数据库 笔记汇总 持续更新中
10-28
通过以上内容,可以看出,***中ADO SQL数据库的操作涉及到多个步骤,包括获取和配置连接字符串、执行SQL语句、参数化查询、处理结果集以及调用存储过程。这些操作为实现数据的增删改查提供了基础,是进行Web应用开发...
ASP.NET源码——Silverlight 2.0 功能展示Demo源码.zip
10-10
3. **数据访问层**:可能包含ADO.NET实体、LINQ to SQL或其他数据访问技术,用于与数据库交互。 4. **配置文件**:如app.config或web.config,用于配置应用程序的设置和连接信息。 5. **可能的数据库脚本**:用于...
关于SQL漏洞注入(Ado.Net)
weixin_34233618的博客
01-07 114
SQL漏洞注入是常见的一种攻击方式,我们可以通过一些简单的方式来预防。看一下我们经常写的代码: 1: /// <summary> 2: /// 不安全的登录代码 3: /// </summary> 4: /// <param name="sender"></param&gt...
ADO.NET防止SQL注入漏洞攻击,两种参数查询
Fanbin168的专栏
08-26 1337
//sql 参数化查询             using (SqlConnectionconn = new SqlConnection("data source=Fan-VAIO;Initialcatalog=sales;integrated security=true"))             {                 conn.Open();
三、ADO.Net基础【05】SQL注入漏洞(SQLInjection)
12-28 112
使用字符串拼接的方式把sql语句所需参数拼接到将要执行的sql语句中(参数一般只sql语句的过滤条件),对于用户的恶意输入可能导致不一的查询结果 例如:一个登录的例子(UserName和Password是用户的输入的用户名和密码)。 “select count(*) from T_Users where UserName=’ ”+UserName+” ‘ and Password=...
ADO.NET笔记——SQL注入攻击
weixin_33919950的博客
03-20 77
相关知识: 可以通过字符串的拼接来构造一个SQL命令字符串,但是SQL命令字符串的拼接确是造成“SQL注入攻击”的重要原因。 考虑下列例子:从ProductCategory表中检索出Name为“Bikes”的类别信息。(示例数据库采用红皮书的数据库:AdventureWorks_WroxSSRS2012) 如果要凭借字符串,将写成: string name = "Bik...
【超详细版】学习SQL注入看这篇就够了(原理及思路绕过)
MachineGunJoe666
04-27 5694
当web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。
.NET 分享两个SQL注入防御加固解决方案
ahhacker86的专栏
01-18 971
SQL 注入绕过技术是一个老生常谈的话题,很多网站都接入了 WAF 等安全产品以此增强拦截和抵御 SQL 注入攻击的能力,另外从纵深防御的策略看还有在应用内部嵌入安全防护模块增强对请求输入参数进行过滤和拦截。下面提供两个防止注入漏洞产生的解决方案。
攻防世界-inget(简单的SQL注入、万能密码)
Welcome To Myon'Blog !
04-14 4910
inget(简单的SQL注入)、手工注入、万能密码原理、sqlmap实现、常用参数
10个SQL注入工具
paoling2010的专栏
09-14 2274
众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同时SQL注入攻击所带来的安全破坏也是不可弥补的。以下罗列的10款SQL工具可帮助管理员及时检测存在的漏洞。 BSQL Hacker BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Ha
asp.net Sql注入
yufangfang3111的专栏
10-10 1124
什么是sql注入 用一个最简单的例子说明,数据库中有一个表,user_table, CREATE TABLE user_table( id INTEGER PRIMARYKEY, username VARCHAR(32), password VARCHAR(41) ); 对一个用户进行认证,实际上就是将用户的输入即用户名和口令跟表中的各行进行比较,如果跟某行中的用户名和口令跟
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值