我的网站是.net+sql2005的,现在常被 注进这样一些内容,
cheap viagra 673583 viagra online 1512
viagra jgezdj viagra 9999
程序上应该怎么处理呢?这是SQL注入吗?感觉不是一样,我在globle.asax文件里已经加上了网上的防注入的方法的啊?
而那些内容正好又是正在我评论表的存内容的字段里,界面就是一个textarea 输入框
cheap viagra 673583 viagra online 1512
viagra jgezdj viagra 9999
程序上应该怎么处理呢?这是SQL注入吗?感觉不是一样,我在globle.asax文件里已经加上了网上的防注入的方法的啊?
而那些内容正好又是正在我评论表的存内容的字段里,界面就是一个textarea 输入框
解决方案 »
- asp.net中如何生成excel文件并打开在网页中
- 请问各位大侠那里有小型的asp.net源代码??多谢
- 更新数据的问题!
- 在C#中如何把秒转成分钟 (在线急等,解决马上给分)
- datagrid的问题?
- 不用服务器端控件,asp.net怎样取得上传文件?
- 谁能给一个好的数据库操作catch{}抛出错误的代码例子,采用马上结贴!
- 为什么我点击linkbutton会执行两次?
- 如何将 .NET 程序迁移到 Crystal Report 9.2……(更新:2003-10-12,作者:海波.NET)
- asp.net 读取自定义存储过程
- 急急、FunsionChart控件X轴显示数据问题
- EXT.NET.GRIDPANEL问题
你的问题当然也有可能是服务器漏洞,跟你程序无关。
上面ID>16的就应该是被搞进去的
但它每项内容又都是按我的字段要求来对应 上的,搞不懂这到底是不是注入啊
sql.Append(" values (@id,@userID_F,@newsID,@pf,@content,@dt,@type) "); SqlParameter[] paras = { new SqlParameter("@id", SqlDbType.VarChar, 4) ,
new SqlParameter("@userID_F", SqlDbType.NVarChar, 6) ,
new SqlParameter("@newsID", SqlDbType.VarChar, 4) ,
new SqlParameter("@pf", SqlDbType.VarChar, 4) ,
new SqlParameter("@content", SqlDbType.Text, 10000) ,
new SqlParameter("@dt", SqlDbType.DateTime, 8) ,
new SqlParameter("@type", SqlDbType.VarChar, 2) ,
};
string[] stra = { tepID.ToString(), userID_F, newsID, pf.ToString(), content, dt.ToString(), "2", };
int j;
for (j = 0; j < stra.Length; j++)
{
paras[j].Value = stra[j]; }
string sqla = sql.ToString();
try
{
SqlHelper.ExecuteNonQuery(sqla, paras); ////执行添加数据
ScriptManager.RegisterStartupScript(UpdatePanel1, this.GetType(), "消息框", "<script>alert('评伦发表成功!\\n\\n谢谢您对该博文的支持!');</script>", false);
this.tcontent.Value = "";
//局部不刷新
pageLoad();
}
catch (SqlException ex)
{
}
请问下这断代码是不是已经是参数化的sql语句了?
如果不是注入而是HTTP直接 提交数据的话,应该怎么避免呢?
他还不狠,狠的话来个无限循环你就happy了
比如内容为:
<script>
if(true)
{
alert('评伦发表成功');
}
</script>
参数化 + 不拼sql(包括参数化的sql语句)就比较安全了
http://www.marblelog.com