一个被大多数初级程序员忽略的安全问题 [严重]

最新推荐文章于 2023-03-12 18:30:00 发布

thcjp

最新推荐文章于 2023-03-12 18:30:00 发布

阅读量927

点赞数

分类专栏：学习笔记文章标签： textbox webform button asp server object

本文链接：https://blog.csdn.net/thcjp/article/details/708813

版权

学习笔记专栏收录该内容

7 篇文章 0 订阅

订阅专栏

在看到这个提示之前我也如此,呵呵,但是肯定还是有很多朋友都知道这个,但是忽略这个问题的人我想一定不会在少数!具体看下面,按照我的老规矩,做成一个Demo,前后台页代码都在,只是数据库,我是用的SQL,数据哭结构只有两个字段,一个用户名,一个密码,所以自己都可以建一个就是,呵呵!!

后台C#代码
1

using System;
2

using System.Collections;
3

using System.ComponentModel;
4

using System.Data;
5

using System.Drawing;
6

using System.Web;
7

using System.Web.SessionState;
8

using System.Web.UI;
9

using System.Web.UI.WebControls;
10

using System.Web.UI.HtmlControls;
11

using System.Data.SqlClient;
12

namespace Ado.net
13

{
14

/**//// <summary>
15

/// WebForm1 的摘要说明。
16

/// </summary>
17

public class WebForm1 : System.Web.UI.Page
18

{
19

protected System.Web.UI.WebControls.TextBox TextBox1;
20

protected System.Web.UI.WebControls.TextBox TextBox2;
21

protected System.Web.UI.WebControls.Button Button1;
22

protected System.Web.UI.WebControls.Button Button2;
23

private void Page_Load(object sender, System.EventArgs e)
25

{
26

// 在此处放置用户代码以初始化页面
27

}
28

Web 窗体设计器生成的代码#region Web 窗体设计器生成的代码
30

override protected void OnInit(EventArgs e)
31

{
32

//
33

// CODEGEN: 该调用是 ASP.NET Web 窗体设计器所必需的。
34

//
35

InitializeComponent();
36

base.OnInit(e);
37

}
38

/**//// <summary>
40

/// 设计器支持所需的方法 - 不要使用代码编辑器修改
41

/// 此方法的内容。
42

/// </summary>
43

private void InitializeComponent()
44

{
45

this.Button1.Click += new System.EventHandler(this.Button1_Click);
46

this.Button2.Click += new System.EventHandler(this.Button2_Click);
47

this.Load += new System.EventHandler(this.Page_Load);
48

}
50

#endregion
51

private SqlConnection con()
53

{//下面有调用几次这个，所以就做个方法，呵呵，没有意见吧
54

SqlConnection con=new SqlConnection("server=.;database=voteone;uid=sa;pwd=980123;");
55

return con;
56

}
57

private void Button1_Click(object sender, System.EventArgs e)
58

{
59

SqlConnection con=this.con();
60

con.Open();
61

SqlCommand cmd=new SqlCommand("select * from admin where name='"+TextBox1.Text+"' and pwd='"+TextBox2.Text+"'",con);
62

SqlDataReader sdr=cmd.ExecuteReader();
63

if(sdr.Read())
64

{//这个成功不需要输入密码或者连用户名都不用输入就可以得到
65

//例如你在第第一个文本框里输入　thc '-- （这个是假设我们知道用户名是thc）或者　' or 1=1--　　（这个更厉害了，更本就不需要知道什么，重要知道　１＝１就可以了）
66

Response.Write("登陆成功");
67

}
68

else
69

{
70

Response.Write("失败");
71

}
72

}
73

private void Button2_Click(object sender, System.EventArgs e)
75

{//下面方法主要是使用了Replace关键字把传近来的字符中的单引号给替换了（'），其他没有什么，呵呵
76

SqlConnection con=this.con();
77

con.Open();
78

SqlCommand cmd=new SqlCommand("select * from admin where name='"+TextBox1.Text.Replace("'","''")+"' and pwd='"+TextBox2.Text.Replace("'","''")+"'",con);
79

SqlDataReader sdr=cmd.ExecuteReader();
80

if(sdr.Read())
81

{
82

Response.Write("登陆成功");
83

}
84

else
85

{
86

Response.Write("失败");
87

}
88

}
89

}
90

}
91

前台HTML代码
1

@ Page language="c#" Codebehind="WebForm1.aspx.cs" AutoEventWireup="false" Inherits="Ado.net.WebForm1" %>
2

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >
3

<HTML>
4

<HEAD>
5

<title>WebForm1</title>
6

</HEAD>
11

<body MS_POSITIONING="GridLayout">
12

<form id="Form1" method="post" runat="server">
13

<asp:TextBox id="TextBox1" style="Z-INDEX: 101; LEFT: 32px; POSITION: absolute; TOP: 80px" runat="server"></asp:TextBox>
14

<asp:TextBox id="TextBox2" style="Z-INDEX: 102; LEFT: 32px; POSITION: absolute; TOP: 120px" runat="server"></asp:TextBox>
15

<asp:Button id="Button1" style="Z-INDEX: 103; LEFT: 32px; POSITION: absolute; TOP: 160px" runat="server"
16

Text="有漏洞"></asp:Button>
17

<asp:Button id="Button2" style="Z-INDEX: 104; LEFT: 120px; POSITION: absolute; TOP: 160px" runat="server"
18

Text="修改后"></asp:Button>
19

</form>
20

</body>
21

</HTML>
22

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

thcjp

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

【安全】——程序员应该具备的安全意识（一）

To Begin,Begin　　

09-30

1927

在这篇文章中将分享程序员在编程过程中应了解的安全小常识。来源 http://securitycompass.com/training/free/course-demos/SQL InjectionSQL Injection的“入侵场所”1.Web Form 2.URL Parameter 3.Web Service以URL Parameter为例假如界面上需要用户注册，注册时要选择所在国家和城

程序员的成长课

GitChat

04-12

5087

内容介绍知道和做到之间有一道鸿沟，要想跨越它，你不但要努力，还要讲究方法。《程序员的成长课》不仅传授知识，更教给读者如何做好。《程序员的成长课》中的理念、方法、工具可以指导读者更好地看清定位及发展方向，设计未来。如果读者不知道选择什么技术栈来学习，困惑于怎样在技术上持续精进，想转技术管理却没途径，想有章法地为跳槽加薪做准备，或者想转型却不知道自己除了技术还能干什么，建议认真读本书，它提供的方法和...

1 条评论您还未登录，请先登录后发表或查看评论

程序员十大安全技巧（转贴）

crystal521（云淡风轻）的专栏

10-10

1564

程序员十大安全技巧摘要：涉及安全问题时，有很多情况都会导致出现麻烦。您可能信任所有在您的网络上运行的代码，赋予所有用户访问重要文件的权限，并且从不费神检查您机器上的代码是否已经改变。您也可能没有安装防病毒软件，没有给您自己的代码建立安全机制，并赋予太多帐户以太多的权限。您甚至可能非常大意地使用大量内置函数从而允许恶意侵入，并且可能任凭服务器端口开着而没有任何监控措施。显然，我们还可以举出更多

@程序员，安全问题必须重视！

IM_Hank的博客

12-22

634

51%的企业在过去12月内发生过数据泄漏面对日益复杂的安全环境，多样化的攻击手段，传统的防护已经失效，你的安全团队是否做好了准备？深井式的管理架构，各自封闭的信息系统，无迹可寻的内部泄漏，防不胜防的勒索病毒，你企业安全管理是不是正深受其害？ iOSAPP应用面临的安全风险随着iOS逆向的工具越来越成熟，入门门槛越来越低，加上大部分应用都没有采取保护措施，现在市面上的很多应用都面临被...

程序员必须注意的十大安全之技巧

07-21

程序员必须注意的十大安全之技巧

程序员大大们请好好保护我们的信息安全哟

互联网安全研究院

02-12

936

程序员经常被描写为压力极大的群体，网络上有太多段子和图文说程序员板滞、没热心、不浪漫……，尽管大多都是程序员自黑，但是却给非IT人员构成了一个既定形象，那便是“程序员是板滞的、没热心的、不浪漫的一个作业族群”。但是不可否认的是，编程的工作实际上真的是相当枯燥乏味的，所以很多程序员都喜欢在代码注释的部分为自己的工作添加一些乐趣。

嵌入式程序员面试基本习题

森林之猫猫狗狗

12-06

511

这个测试适于不同水平的应试者，大多数初级水平的应试者的成绩会很差，经验丰富的程序员应该有很好的成绩。为了让你能自己决定某些问题的偏好，每个问题没有分配分数，如果选择这些考题为你所用，请自行按你的意思分配分数。

嵌入式程序员面试问题集锦

专注于嵌入式

12-13

4335

这个测试适于不同水平的应试者，大多数初级水平的应试者的成绩会很差，经验丰富的程序员应该有很好的成绩。为了让你能自己决定某些问题的偏好，每个问题没有分配分数，如果选择这些考题为你所用，请自行按你的意思分配分数。　　预处理器（Preprocessor）　　1 . 用预处理指令#define 声明一个常数，用以表明1年中有多少秒（忽略闰年问题） #define SECONDS_

程序员的外包经验：印度、中国和菲律宾

weixin_46302190的博客

02-28

1528

外包在软件业很常见，各种规模的公司都在用，每年要吸纳大量就业。但是，外包的曝光量很少，大家似乎都不太关心，很少有人谈论。这导致许多人不了解外包到底是怎么回事。 1、我有很多与亚洲外包供应商合作的经历。这篇文章我想来谈谈，多年来将软件项目外包到印度，中国和菲律宾的经验。我以前的工作是辉瑞公司的软件架构师，一共干了 14 年，曾经负责过亚太地区的软件架构。 2、辉瑞公司的软件开发策略很简单...

编程大视界丨一张主流编程语言的变迁图，讲清程序员迁移模式！

C_Q_741818652的博客

05-11

683

我绘制了一个主流编程语言的变迁图，用以表示程序员在不同语言之间的切换路径。关于编程语言，还有很多类似的图可以表示它们相互之间的演进。不过我并不想从语言设计者角度来说明这个问题，而是想从程序员本身来看待语言演变。虽然两者间有些接近，但并不完全相同。从该图可以看出，如果开始使用的是编程语言 A，下一个最有可能切换过去的是哪种语言。这种推测不是非常科学。不过如果你需要精确的科学，就不会在这里阅读...

程序员都应该了解哪些安全知识

Rainman的专栏

03-28

460

导读：本文来自StackOverflow上的一个问答贴。网友 M.H 提问：我是一名IT专业学生，现在是大三，直到现在我们才开始学习很多计算机相关的课程（编程、算法、计算机体系结构、数学等……）。但是还有一个叫“安全”的世界离我们很远，我是指：计算机安全、互联网安全、网络安全、Hacking、破解等。我很确信没有人可以知晓所有安全知识，但我确信，肯定有一定的“最低限度”知识，是每个程序

程序员十大安全技巧

weixin_30640291的博客

12-24

156

安全问题涉及许多方面。安全风险可能来自任何地方。您可能编写了无效的错误处理代码，或者在赋予权限时过于慷慨。您可能忘记了在您的服务器上正在运行什么服务。您可能接受了所有用户输入。如此等等。为使您在保护自己的计算机、网络和代码方面有个良好开端，这里展示了十条技巧，遵循这些技巧可以获得一个更安全的网络策略。 1. 信任用户的输入会将自己置于险境　　即使不阅读余下的内...

WEB安全编程

成长的脚印

02-28

1180

近年来web安全越来越受到企业的重视，作为程序员，我们做程序安全的第一责任人，你对web安全编程又有多少了解呢？其实了解常见的几个安全编程方法就会让大多数黑客无功而返，下面会一一列举:1、SQL注入（SQL Injection）SQL注入是指攻击者利用拼接的sql参数，进行的一些非法操作。潜在威胁： a、绕过用户登录认证例如用户登录 SQL="select username from ...

安全编程（一）

a_cherry_blossoms的博客

08-20

1998

1.Java虚拟机首先，我们要先了解一下什么叫做虚拟机？所谓的虚拟机，就是一种抽象化的计算机，通过在实际的计算机上模拟仿真各种计算机功能实现的。通俗来说就是安装在你计算机（1）上面的“计算机（2）”，你可以用这台“计算机（2）”做一些你不敢在自己计算机（1）上面做的事。比如说玩玩木马中毒之类的。那Java虚拟机呢？Java虚拟机是一个可以执行Java字节码的虚拟机进程，我把它理...

安全无小事，安全防范从nginx配置做起

weixin_34387284的博客

06-06

161

隐藏版本号 http { server_tokens off; } 复制代码经常会有针对某个版本的nginx安全漏洞出现，隐藏nginx版本号就成了主要的安全优化手段之一，当然最重要的是及时升级修复漏洞开启HTTPS server { listen 443; server_name ops-coffee.cn; ssl on; ssl_certificate /etc/nginx/...

如何成为一个安全的程序员

学海无涯苦作舟的博客

03-24

522

信息技术行业是世界上增长最快的行业之一。但是，软件和软件产品的发展速度快于软件安全性的发展速度。难怪世界各地对安全程序员的要求和职位空缺都在上升。由于声誉和增长范围的原因，越来越多的IT专业人员正在考虑将安全的Web编程作为一种职业。为了从事安全的Web编程专业人员的职业，您需要具备开发安全可靠的应用程序的基本和基本技能。但是，成为专家的过程并不容易，我们充分意识到这一事实。这就是为什么您需要合适的平台来学习并实现所需目标的原因。让我们分解一下成为一名安全程序员所需的条件。我该如何从事职业安全程序员的工

程序猿和网络安全工程师的有什么区别，该从事哪个方向

程序员阿飘的博客

03-12

216

黑客不仅能写代码，还能入侵别人系统和网站，而程序猿是建立网站的，黑客是破坏网站的，两者是一个对立的关系。花4个月时间学习网络安全顺利的情况可以成为网络安全工程师，当然这个需要考量你个人的学习能力，学的好是完全没问题的，而且技能甚至比黑客更厉害。悄悄告诉你们网络安全工程师厉害程度比你想象的还厉害，在企业的薪资水平就很高，而且到漏洞平台挖漏洞的外快也是非常可观的，偶尔打打比赛，奖金可能比你年薪还高，是不是很有诱惑力。阅读永远是最有效的方法，尽管书籍并不一定是最好的入门方式，但书籍的理解需要一定的基础；

ASP.NET对SQLSERVER数据库增改删操作

星辰的雨

04-06

2272

WebForm.aspx WebForm1 http://schemas.microsoft.com/intellisense/ie5"> 对数据库进行操作（增加，修改，删除）姓名：性别：

写一个关于初级程序员的教程