---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入漏洞攻击;
如果在代码执行查询的时候用
"SELECT * FROM T_user where name={0}",+txtUserName.text.tostring();
当用户恶意的在文本框中输入 'or 1='1 就会构成注入漏洞攻击,因为查看cmd命令你会发现结果成了where name='or 1=1';
大家知道1=1是肯定成立的,or语句只要有一个是对的,那么整个语句就是true,这样的话就失去了设计的意义。如何避免注入漏洞攻击呢。
在c#中有一个方法:
cmd.ommandText="SELECT * FROM T_user where name=@name"
cmd.Parameters.Add(new sqlParameters("@name",txtTserName.text.tostring()));