ASP.NET開發實踐系列課程之SQL注入攻擊(SQL Injection)

發生於資料層的安全性漏洞，在輸入資料字串中夾帶SQL指令，在設計不良的程式中忽略了檢查。

主要原因
使用字串串連方式組合SQL指令
使用許可權過大的賬戶
開放了不必要但權力過大的功能
太過於信任使用者所輸入的資料，未限制輸入的字元數，以及未對使用者輸入的資料做潛在指令的檢查

注入原理
組合SQL命令字串，未針對單引號字串做取代處理的話，將導致該字串變數在填入命令字串時，被惡意篡改原本的

SQL文法的作用。

危害
使用他人ID登陸系統
到取資料庫中非授權資料
惡意刪除/修改 資料庫/資料表/紀錄
修改或更改作業系統
獲得系統更高極許可權
破壞硬碟資料

防禦SQL注入式攻擊
完全使用參數化查詢
先針對傳入參數做字元取代
使用其它更安全的方式串連SQL資料庫例如已經修正過SQL注入問題的資料庫連接組件。例如ASP.NET的SqlDataSource對

象或是LINQ to SQL
使用SQL防注入系統。