ADO.NET注入攻擊和防禦

標籤：pass   count   password   cut   close   line   clear   command   console   

當在添加程式中注入攻擊時在控制台應用程式中可以這樣寫：

請輸入編號：U006

請輸入使用者名稱：無敵

請輸入密碼：1234

請輸入暱稱：呵呵

請輸入性別：True

請輸入生日：2000-1-1

請輸入民族：N004‘>update Users set PassWord=‘0000‘;--

添加成功！

這樣可以在添加程式中將裡面的內容的密碼都改為0000.

有攻擊就有防禦所以：

可以在裡面添加程式就可以達到防禦效果：

string nation = Console.ReadLine();
conn.Open();
cmd.CommandText = "insert into Users values(@a,@b,@c,@d,@e,@f,@g)";
cmd.Parameters.Clear();
cmd.Parameters.AddWithValue("@a", ucode);
cmd.Parameters.AddWithValue("@b", username);
cmd.Parameters.AddWithValue("@c", password);
cmd.Parameters.AddWithValue("@d", nickname);
cmd.Parameters.AddWithValue("@e",sex);
cmd.Parameters.AddWithValue("@f", birthday);
cmd.Parameters.AddWithValue("@g", nation);
int count = cmd.ExecuteNonQuery();
conn.Close();

當將資料轉換成@a這種形式時，就可以防禦了。

ADO.NET注入攻擊和防禦