ADO.NET注入攻击和防御

2021-07-02 21:07

阅读:711

标签:pass   count   password   cut   close   line   clear   command   console   

当在添加程序中注入攻击时在控制台应用程序中可以这样写:

请输入编号:U006

请输入用户名:无敌

请输入密码:1234

请输入昵称:呵呵

请输入性别:True

请输入生日:2000-1-1

请输入民族:N004‘>update Users set PassWord=‘0000‘;--

添加成功!

这样可以在添加程序中将里面的内容的密码都改为0000.

有攻击就有防御所以:

可以在里面添加程序就可以达到防御效果:

string nation = Console.ReadLine();
conn.Open();
cmd.CommandText = "insert into Users values(@a,@b,@c,@d,@e,@f,@g)";
cmd.Parameters.Clear();
cmd.Parameters.AddWithValue("@a", ucode);
cmd.Parameters.AddWithValue("@b", username);
cmd.Parameters.AddWithValue("@c", password);
cmd.Parameters.AddWithValue("@d", nickname);
cmd.Parameters.AddWithValue("@e",sex);
cmd.Parameters.AddWithValue("@f", birthday);
cmd.Parameters.AddWithValue("@g", nation);
int count = cmd.ExecuteNonQuery();
conn.Close();

当将数据转换成@a这种形式时,就可以防御了。

ADO.NET注入攻击和防御

标签:pass   count   password   cut   close   line   clear   command   console   

原文地址:http://www.cnblogs.com/yujiamin123/p/7126804.html


评论


亲,登录后才可以留言!