ADO.NET字符串注入式攻击与防御

最新推荐文章于 2018-10-04 15:02:00 发布
最新推荐文章于 2018-10-04 15:02:00 发布
阅读量99 收藏 1
点赞数
文章标签: c# 数据库
原文链接:http://www.cnblogs.com/zhulijun/p/6758138.html
版权

一、字符串注入攻击

所谓sql字符串注入式攻击就是在用户输入界面输入一串sql语句,来改变C#中连接数据库要执行的sql语句

通过你写的程序,直接来执行我想要执行的sql语句

例如:在这么一个程序中,sname是需要用户输入的内容。

在用户输入界面输入 

a');update 表名 set 列名 ='字段名称;--

假如你在输入时输入了这句代码:a');update student set sname ='朱利军;--

原理:用户输入的代码将c#中的sql语句中的sname替换掉了,就变成了下边的黑客想执行的sql语句。

insert into Student values('"+sno+"','a');

update Student set Sname ='朱利军;--')

二、防御

将C#中操作数据库执行的sql语句中的字符串拼接换成占位符

在防御之后再用之前的放法进行攻击

用占位符进行防御之后不会改变表的其他内容,会将这句代码原封不动的存到数据库中而不会改变c#中的sql语句。

注意:sql语句中带模糊查询的防御方法

将'%哈哈%'  全部用占位符占位。例子如下:

cmd.CommandText = "select*from Subject where SubjectName like @a";

 cmd.Parameters.Clear();   

 cmd.Parameters.AddWithValue("@a","%"+subname+"%");

转载于:https://www.cnblogs.com/zhulijun/p/6758138.html

weixin_30765577
关注
SQL 注入式攻击的本质
09-11
SQL注入式攻击是一种常见的网络安全威胁,它发生在Web应用程序中,尤其是那些处理用户输入数据的系统。这种攻击方式的根源在于程序员在编写代码时没有正确地过滤、验证或转义用户提供的输入,导致恶意用户可以插入...
数据库开发及ADO.NET(37)——SQL注入漏洞攻击、查询参数、App.Config
qq_34573534的博客
09-02 221
一、SQL注入漏洞攻击 1、登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。 2、构造恶意的Password:' or '1'='1 if (reader.Read()) { Console.WriteLine("登录成功"); } else { Console.Writ...
ado.net(一)
whilelie的专栏
07-12 693
1、SQL执行过程 -> SQL查询的完整语法 select top | distinct 字段 , 表达式 , 函数 , 标量子查询 , ... from 数据源 where 条件(一般逻辑、范围、模糊、空值) group by 字段 having 条件 order by 排序
C#写的防止SQL注入式攻击的软件 可以作为课程设计
06-14
- **参数化查询**:C#中的ADO.NET提供了参数化查询,如SqlCommand对象的Parameters属性,可以有效防止SQL注入。参数化查询确保输入数据被当作数据而不是代码执行。 - **存储过程**:使用存储过程可以限制数据库...
asp防SQL注入程序
07-23
为了保护ASP应用免受SQL注入攻击,我们需要了解其原理并采取有效的防御措施。 SQL注入的原理是利用应用程序处理用户输入数据时的不安全性,将恶意SQL语句嵌入到正常的查询中。例如,如果一个ASP页面有一个表单字段...
ASP网页与数据库访问.pdf
10-08
此外,还需要注意数据库连接字符串的保护、数据库权限的合理分配,以及对敏感数据的加密和安全传输。 知识点七:ASP网页与数据库访问的现代替代技术 虽然ASP技术在当下已经不再是最先进的技术,但出于兼容性和历史...
简单解决在ado.net中防止SQL注入
陈坚 浙江绍兴
03-30 1042
在程序开发过程系统安全是应该是开发人员关注的地方,特别是网站更加值得去关注,我们在开发用户登录的功能中有可能会给一些破坏者留有余地,例如SQL的注入问题,如何简单去解决这个问题呢? SqlConnection conn =new SqlConnection("Data Source=localhost;Initial Catalog=web;");SqlCommand cmd = conn.C
ado.net防止sql注入
Hello World
12-15 2216
简介:当web平台真正上线之后,遇到的问题之一就是黑客攻击的问题,攻击的手段中常用的手段就是DDOS和sql注入,关于DDOS攻击,也就是分布式拒绝服务式攻击,就是黑客黑掉大量pc机之后,发下命令,全部被黑的机器同时去访问服务器,当超出服务器的负载时,服务器就是down掉,也就达到了一定的目的,这种攻击,在程序中用技术是解决不了的,最简单的办法就是拼money,加大带宽,服务器等等,其他的方法,就
ADO.NET注入式攻击
weixin_30500663的博客
10-04 76
关于Sql注入,经典的注入语句是' or 1=1-- 以下说说如何最大限度的避免注入问题。 一.SQL参数用法1 1.思维导图 属性 ParameterName 取得或設定SqlParameter的名稱。 Value 取得或設定參數的值。 SqlDbType 取得或設定參數的SqlDbType Siz...
ADO.NET防止字符串攻击方法
weixin_30698297的博客
11-29 70
在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入班级值 --:代表后边内容都被注释掉了 防止SQL注入攻击方法: 再给命令发送SQL语句的时候分两次发送,把SQL语句拆成两块,用户输入的是一块;本身写好的是一块,第一次把CommandText里写的sql语句发过去;第二次把变量值发过去,进行匹配 cmd.CommandText = "update User...
数据连接字符串防止注入式攻击
weixin_30375427的博客
06-24 144
ConnectionString容易发生类似于SQL 注入式攻击,因为攻击者可以在连接字符串中通过分号(;)来加入其它参数。 例如:连接字符串通过下面方式拼接: stirngconnectionString="Server=(local);InitialCatalog=yourDatabase;UserID=username;Password="+textbox1.Tex...
字符串注入攻击
weixin_30882895的博客
03-31 435
//查询编号和名称(必须一致才能获取) Console.Write("请输入编号"); string ids = Console.ReadLine(); Console.Write("请输入名称"); string name...
避免链接字符串注入式攻击
05-25 139
转载于:https://www.cnblogs.com/zhangxiaolei521/p/5527913.html
防止连接字符串注入式攻击
weixin_30670965的博客
01-30 272
使用sqlConnectionStringBuilder来处理Initial Catalog设置插入的额外值: 1 System.Data.SqlClient.SqlConnectionStringBuilder builder   = new System.Data.SqlClient.SqlConnectionStringBuilder(); 2 builder["Data ...
SQL 注入式攻击的终极防范
liuwei_IT_love的专栏
09-09 618
前一篇我们已经讲了SQL注入攻击漏洞产生的本质是由编程人员编码的不当造成的,下面我们就来继续讲如何才是正确的编码,才不会受到SQL注入攻击,在讲这个问题之前让我们来先看一段代码:dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata = "|and|exec|insert|select|delete|update|coun
拼接字符串改为 @字段名,防止注入攻击
weixin_34137799的博客
02-18 126
Console.WriteLine("请输入要查询的代号"); string code = Console.ReadLine(); SqlConnection conn = new SqlConnection("server=.;database=mydb;uid=sa;pwd=123"); SqlCommand cmd = co...
ADO.NET连接字符串全攻略 - 数据库类型与示例
ADO.NET中,连接字符串是用于建立应用程序与数据库之间连接的关键组件。它包含了必要的信息,如服务器地址、数据库名、用户名和密码等。以下是几个关键知识点: 1. SQL Server连接字符串: - ODBC连接:通过ODBC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值