Sql Server防止Sql Injection Attack的最简单的办法

最新推荐文章于 2023-08-19 20:00:26 发布
最新推荐文章于 2023-08-19 20:00:26 发布
阅读量187 收藏 1
点赞数
原文链接:http://www.cnblogs.com/Yahong111/archive/2007/06/07/775042.html
版权

Sql注入式攻击让人防不胜防,根据微软的解决办法,就是用存储过程。但是如果每个Sql操作都用存储过程来实现,这也太麻烦了点,有没有

可以简单的办法呢?当然有。
那就是——用存储过程……^_^
放屁!你这不是等于白说么?

别急,通过对SqlCommand的ExecuteNonQuery,ExecuteScalar,BeginExecuteReader 进行跟踪,发现如果Sql语句中含有SqlParameter,则系统

会自动调用sp_executesql来处理,而如果没有SqlParameter,则系统会直接执行该Sql语句。
比如
string Sql="select UserID,UserName,Email from Users where UserID='C054965'";
SqlCommand cmd = new SqlCommand(Sql, Connection);
try
{
   cmd.Connection.Open();
   SqlDataReader Reader=cmd.ExecuteReader();
   //
   //.....
   //
}
finally
{
   cmd.Connection.Close();
}

这时,通过跟踪,发现Sql Server是直接执行select语句
然而下面的语句就不一样了
string Sql="select UserID,UserName,Email from Users where UserID=@UserID";
SqlCommand cmd = new SqlCommand(Sql, Connection);
cmd.Parameters.Add(new SqlParameter("@UserID","C054965"));

try
{
   cmd.Connection.Open();
   SqlDataReader Reader=cmd.ExecuteReader();
   //
   //.....
   //
}
finally
{
   cmd.Connection.Close();
}

Sql Server 系统执行的是
exec sp_executesql N'select UserID,UserName,Email from Users where UserID=@UserID ', N'@UserID nvarchar(7)', @UserID =

N'C054965'

现在我们来进行Sql Injection Attack。
string Sql="select UserID,UserName,Email from Users where UserID=@UserID";
SqlCommand cmd = new SqlCommand(Sql, Connection);
cmd.Parameters.Add(new SqlParameter("@UserID","C054965;create table aa(a int);--"));
//
//....
//

这时系统不会返回正确的数据
因为Sql Server执行的是
exec sp_executesql N'select Email,UserID,UserName from Users where UserID=@UserID and Pwd=@Pwd', N'@UserID nvarchar(33)',

@UserID = N'C054965;create table aa(a int);--'

而且,由于执行的是存储过程,所以也不会执行后面的create table 语句。

这样就可以有效的避免Sql注入式攻击了。

总结:

   通过在SqlCommand的CommandText中加入SqlParameter,可以有效的防止Sql注入式攻击,而不用编写专门的存储过程。这可以在很大程度上

提高我们的开发效率,提升业务逻辑层的灵活性。
   实际上,我们还是在用存储过程,不过是SqlCommand帮我们自动实现了。

备注:
DongLiORM平台在进行数据读写时,就大量的运用了这个技巧。他自动生成的Sql全部都是基于SqlParameter的。
比如
select UserId,UserName from users where UserID=@UserID
insert into Users(UserID,UserName) values(@UserID,@UserName)
delete from users where UserID=@UserID
update users
set UserName=@UserName
where UserID=@UserID_old

这样就可以有效避免Sql注入式攻击了。
DongLiORM的介绍:
http://www.cnblogs.com/Yahong111/archive/2007/06/06/774236.html

转载于:https://www.cnblogs.com/Yahong111/archive/2007/06/07/775042.html

weixin_33834910
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Injection Attacks and Defense, 2nd Ed.pdf
08-03
SQL Injection Attacks and Defense, 2nd Ed.pdf
使用EXECUTE sp_executesql 避免SQL Injection
dearls的专栏
09-11 159
比如:   DECLARE @SQLString NVARCHAR(500)DECLARE @ParmDefinition NVARCHAR(500)DECLARE @IntVariable INTDECLARE @StringVariable NVARCHAR(100)DECLARE @Lastlname varchar(30)SET @SQLString = N'SELECT @Last...
SQL Injection Attack
一品梅的博客
06-02 1054
http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx 
SQL injection attack
c的专栏
10-25 771
转载自:http://www.veracode.com/security/sql-injection
【科软课程-信息安全】Lab12 SQL Injection Attack
weixin_41950078的博客
06-30 1197
1.0 概述 SQL注入是一种代码注入技术,它利用web应用程序和数据库服务器之间接口的漏洞。在将用户输入发送到后端数据库服务器之前,如果在web应用程序中没有正确检查用户输入,就会出现该漏洞。 许多网络应用程序从用户那里获取输入,然后使用这些输入来构建SQL查询,这样他们就可以从数据库中获取信息。Web应用程序还使用SQL查询将信息存储在数据库中。这些是web应用程序开发中的常见实践。如果不仔细构建SQL查询,可能会出现SQL注入漏洞。SQL注入是最常见的网络应用攻击之一。 在本实验中,我们创建了一
A Survey of SQL Injection Attack Detection and Prevention.pdf
09-19
A Survey of SQL Injection Attack Detection and Prevention.pdf
Effective SQL Injection Attack Reconstruction Using Network Recording
05-29
鉴识信息太少或不够就没办法识别被利用的漏洞或是攻击者 这篇PAPER主要体现网络鉴识技术的价值,以及改善对SQL注入攻击的调查 使用基于网络的IDS工具来记录可疑的针对应用的攻击,用以来重建SQL注入攻击
advanced_sql_injection.rar_sql injection
09-24
how to prevent sql injection attack
Secure-Systems-of-SQL-Injection-Attack:具有SQL注入漏洞的安全系统
05-01
恶意文本检测器,约束验证,查询长度验证和基于文本的密钥生成器是用于检测和防止SQL注入攻击访问数据库的四种过滤技术。 要求 Web应用程序 一台虚拟服务器 测试客户 封包捕获软件 执行 我们正在Ubuntu中进行此项目...
PHP Exploits and the SQL Injection Attack
03-02
介绍网络安全中的PHP Exploits 和 the SQL Injection Attack。需要的下载。
【SEED Labs 2.0】SQL Injection Attack Lab
Chenyang的博客
08-25 5452
本文为 SEED Labs 2.0 - SQL Injection Attack Lab 的实验记录。 实验原理 SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,它目前是黑客对数据库进行攻击的最常用手段之一。 Task 1: Get Familiar with SQL Statements 启动 docker dcbuild dcup 然后进入 mysql 程序 dockps docksh ** mysql -
SQL Injection Attack Lab
qq_39249347的博客
07-12 1033
实验环境 Ubuntu16.04 将www.seedlabsqlinjection.com映射到127.0.0.1,并配置Apache的配置文件。 预备知识 网络应用程序一般将数据存储在数据库中,当它们需要从数据库中访问数据时,需要构造SQL语句并将语句发送给数据库执行,通常,这些SQL语句不包含不可信的用户提供的数据。网络应用程序需要确保来自用户的数据不被当成代码,否者数据库可能被执行用户注入的指令。 开始实验 首先我们来到登录界面,随便输入用户名和密码,然后查看处理用户登录请求的后端服务器脚本
有一种黑客攻击,叫做:SQL注入
我快乐,我自由。
02-13 1484
SQL注入攻击(SQL Injection Attack)是一种常见的Web漏洞,它是指通过构造恶意的SQL语句,在不经过授权的情况下访问、修改或删除数据库中的敏感数据。SQL注入攻击通常发生在使用动态SQL语句的Web应用中,特别是当Web应用程序允许用户输入某些数据时,如果对这些数据没有适当地进行验证和过滤,就有可能导致SQL注入攻击。攻击者可以利用这一漏洞,构造恶意的SQL语句,访问、修改或删除数据库中的数据,甚至可以完全控制数据库。
SQL注入攻击及防范
AlphaFinance
12-09 2163
为了防范SQL注入攻击,需要采取以下措施:一、对用户输入进行严格限制和过滤,应用程序应该严格限制用户输入的内容,只允许用户输入预定义的字符集,并对用户输入进行过滤,拒绝包含特殊字符的输入。二、使用参数化查询,参数化查询是指在执行SQL语句时,将用户输入的参数单独作为参数传入,而不是将用户输入的内容直接拼接到SQL语句中。通常情况下,SQL注入攻击是利用应用程序接受用户输入的漏洞,将恶意代码作为用户输入传入应用程序,让应用程序将恶意代码当作正常的SQL语句执行。
漏洞分析SQL Injection Attack Lab(自用,记录)
weixin_48392428的博客
07-05 1913
SQL Injection Attack Lab1 Overview2 Lab Environment2.1 Environment Configuration2.2 Turn Off the Countermeasure2.3 Patch the Existing VM to Add the Web Application3 Lab Tasks3.1 Task 1: MySQL Console3.2 Task 2: SQL Injection Attack on SELECT Statement3.3 T
Web安全之SQL注入攻击分析与防御
最新发布
禅与计算机程序设计艺术
08-19 1118
作者:禅与计算机程序设计艺术 1.简介 Web应用作为信息系统的基础设施,承担着巨大的安全威胁。一般来说,Web应用程序中存在大量用户输入数据的地方,如表单、URL参数等,这些数据经过处理后被送往数据库进行持久化存储。当用户的输入数据没有经过过滤或转义,导致其恶意输入恶意 SQL 指令,或者通过 SQL
Injection Attack
一小平民
02-01 3322
Injection Attacks The OWASP Top 10 lists Injection and Cross-Site Scripting (XSS) as the most common security risks to web applications. Indeed, they go hand in hand because XSS attacks are conting
(一)SQL注入实例
weixin_43047908的博客
04-09 2051
SQL injection UNION attack, determining the number of columns returned by the query GET /filter?category=Gifts HTTP/1.1 Host: ac691f351f548a1780ec009d00da0072.web-security-academy.net Connection: close Cache-Control: max-age=0 sec-ch-ua: "Google Chrome";v=
sql injection attack
03-16
SQL注入攻击是一种利用Web应用程序中的漏洞,通过注入恶意的SQL语句来获取或修改数据库中的数据的攻击方式。...为了防止SQL注入攻击,开发人员需要对输入数据进行严格的验证和过滤,使用参数化查询等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值