请教个防sql注入的问题 对url传递的参数进行格式验证,是否能够有效防止URL被SQL注入和被恶意猜解?本人对这些不太了解,望各位指教。并向各位请教一下有哪些能够有效防止网页被SQL注入的方法。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 可以用replace()把‘ 去掉 尽量不好用text直接当参数,最好处理一下 对URL参数进行加密.然后与sql都采用存储过程的方式就行了 防止ASP.NET被SQL注入攻击并不是难事,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。第一,对于动态构造SQL查询的场合,可以使用下面的技术。替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义;删除用户输入内容中的所有连字符;对于用来执行查询的数据库账户,限制其权限。第二,用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限,可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。第三,限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。 参数化sqlParameter,存储过程,过滤字符,不要用拼接的SQL语句等等。 还有LZ要先搞清楚什么是SQL注入。 什么是SQL注入? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。 1.参数化sqlParameter 在传参数的时候 用Parameter2.存储过程 3.过滤字符 屏蔽一些非法字符比如:/ ,‘ 等等4.不要用拼接的SQL语句;用(string.formart("sql语句")) 较验了总比不较验了好.在写sql的时候应去避免拼接sql,要用参数化的形式,这样能避免很多问题:)包括注入 必须使用参数化存储过程+Parameter 最简单的方法:把sql敏感的字符替换掉比如文本框中的 ' 替换成正文的 “ 文本框中的 , 替换成中文逗号,-替换成 -等等 这样就算是注入高手也很难注入了。另外要是想做的严谨一些,就把sql里的关键字也做一下限制不允许提交。 樓主參照http://topic.csdn.net/u/20080504/20/763ed034-317a-4695-a476-26317b905012.html 急救,高手进 关于html5 再次提问:对路径“E:\我的文档\Visual Studio 2005\WebSites\Search\crawled\segments”的访问被拒绝 谁用过BOO编程语言 ,介绍一下 ASP.NET CALLBACK的非常郁闷的问题!! 关于IE打开PDF文件打印的屏蔽问题! 如何给TextBox控件在失去焦点的时候执行后台函数? 我在一datagrid中的一列中要显示整数数据,我利用DataFormatString加以格式化,数据是:239.0000 急!水晶报表左对齐不了! IIS8 崩溃的500错误 小小问题 问大家一下 正则表达式
2.存储过程
3.过滤字符 屏蔽一些非法字符比如:/ ,‘ 等等
4.不要用拼接的SQL语句;用(string.formart("sql语句"))
包括注入
把sql敏感的字符替换掉
比如文本框中的 ' 替换成正文的 “ 文本框中的 , 替换成中文逗号,-替换成 -
等等 这样就算是注入高手也很难注入了。
另外要是想做的严谨一些,就把sql里的关键字也做一下限制不允许提交。
樓主參照
http://topic.csdn.net/u/20080504/20/763ed034-317a-4695-a476-26317b905012.html