解决方案 »
- AjaxPro 用到的页面都抱脚本错误
- 高分求救 GridView 自定义列取值问题
- 如何在单独一个页面修改一条记录
- 判断一个时间范围与另一个时间范围是否有交集
- vb6转.net的问题,帮忙看看那
- 如何让repeater的一行显示3列,而不是一行就一列!在线等,急!
- 一个页面,一个客户端Form,一个服务器Form的问题
- 我现在我的机器上新建了个项目,想另外一台机器也能编写程序,在Vs.NET里面如何设置?两台机器已经互联!
- 极度郁闷,所有的asp页面突然之间都不好用了,请各位多多指点,太着急呀,不知究竟是怎么回来呀?
- 如何读取配置文件?
- 门户网站如何实现中文英文2个版本的网站
- asp.net 在线视频播放
var name = Request.QueryString["name"];
sql += sql + " where id=" int.Parse(id) + " or name='" + name.Replace("'","''") + "'";这种形式,也就是它知道对于非字符串类型需要先验证类型是否正确;对于字符串类型需要处理其中的单引号。如果你说这些都不用考虑了,直接来一句“这种方式可以被淘汰了”就彻底逃避了问题了,那反而是整天纠结着问题而裹足不前了。
你QQ密码,新浪密码忘了密码发送到邮箱重置密码的链接也都是GET方式的..请撸主注入....
csdn的帖子详情页也是get方式的...请撸主注入....你要是代码写的烂,你就是全站生成HTML也会被人注入
请问使用参数化查询就可以防止脚本注入了么 如下所示的这种
SqlConnection conn = new SqlConnection("server=(local)\\SQL2005;user id=sa;pwd=12345;initial catalog=TestDb");
conn.Open();SqlCommand cmd = new SqlCommand("SELECT TOP 1 * FROM [User] WHERE UserName = @UserName AND Password = @Password");
cmd.Connection = conn;
cmd.Parameters.AddWithValue("UserName", "user01");
cmd.Parameters.AddWithValue("Password", "123456");SqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);reader.Close();
conn.Close();我看网上有那种脚本注入的软件,我们这么用就能屏蔽掉他们这些软件了么? 麻烦在百忙之中抽出时间回复一下! 谢谢
SqlConnection conn = new SqlConnection("server=(local)\\SQL2005;user id=sa;pwd=12345;initial catalog=TestDb");
conn.Open();SqlCommand cmd = new SqlCommand("SELECT TOP 1 * FROM [User] WHERE UserName = @UserName AND Password = @Password");
cmd.Connection = conn;
cmd.Parameters.AddWithValue("UserName", "user01");
cmd.Parameters.AddWithValue("Password", "123456");SqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);reader.Close();
conn.Close();我看网上有那种脚本注入的软件,我们这么用就能屏蔽掉他们这些软件了么? 麻烦在百忙之中抽出时间回复一下! 谢谢
你在程序里对数据处理不当,就会让人注入一些危险脚本到数据库,产生问题。这里说的处理不当就是字符串拼接sql,而参数化查询就是告诉数据库那些参数是数据,数据库就不会把他们当脚本执行