首頁 > 開發者 > SQL Server
Sql注入式攻擊讓人防不勝防,根據微軟的解決辦法,就是用預存程序。但是如果每個Sql操作都用預存程序來實現,這也太麻煩了點,有沒有
可以簡單的辦法呢?當然有。
那就是——用預存程序……^_^
放屁!你這不是等於白說嗎?
別急,通過對SqlCommand的ExecuteNonQuery,ExecuteScalar,BeginExecuteReader 進行跟蹤,發現如果Sql語句中含有SqlParameter,則系統
會自動調用sp_executesql來處理,而如果沒有SqlParameter,則系統會直接執行該Sql語句。
比如
string Sql="select UserID,UserName,Email from Users where UserID='C054965'";
SqlCommand cmd = new SqlCommand(Sql, Connection);
try
{
cmd.Connection.Open();
SqlDataReader Reader=cmd.ExecuteReader();
//
//.....
//
}
finally
{
cmd.Connection.Close();
}
這時,通過跟蹤,發現Sql Server是直接執行select語句
然而下面的語句就不一樣了
string Sql="select UserID,UserName,Email from Users where UserID=@UserID";
SqlCommand cmd = new SqlCommand(Sql, Connection);
cmd.Parameters.Add(new SqlParameter("@UserID","C054965"));
try
{
cmd.Connection.Open();
SqlDataReader Reader=cmd.ExecuteReader();
//
//.....
//
}
finally
{
cmd.Connection.Close();
}
Sql Server 系統執行的是
exec sp_executesql N'select UserID,UserName,Email from Users where UserID=@UserID ', N'@UserID nvarchar(7)', @UserID =
N'C054965'
現在我們來進行Sql Injection Attack。
string Sql="select UserID,UserName,Email from Users where UserID=@UserID";
SqlCommand cmd = new SqlCommand(Sql, Connection);
cmd.Parameters.Add(new SqlParameter("@UserID","C054965;create table aa(a int);--"));
//
//....
//
這時系統不會返回正確的資料
因為Sql Server執行的是
exec sp_executesql N'select Email,UserID,UserName from Users where UserID=@UserID and Pwd=@Pwd', N'@UserID nvarchar(33)',
@UserID = N'C054965;create table aa(a int);--'
而且,由於執行的是預存程序,所以也不會執行後面的create table 語句。
這樣就可以有效避免Sql注入式攻擊了。
總結:
通過在SqlCommand的CommandText中加入SqlParameter,可以有效防止Sql注入式攻擊,而不用編寫專門的預存程序。這可以在很大程度上
提高我們的開發效率,提升商務邏輯層的靈活性。
實際上,我們還是在用預存程序,不過是SqlCommand幫我們自動實現了。
備忘:
DongLiORM平台在進行資料讀寫時,就大量的運用了這個技巧。他自動產生的Sql全部都是基於SqlParameter的。
比如
select UserId,UserName from users where UserID=@UserID
insert into Users(UserID,UserName) values(@UserID,@UserName)
delete from users where UserID=@UserID
update users
set UserName=@UserName
where UserID=@UserID_old
這樣就可以有效避免Sql注入式攻擊了。
DongLiORM的介紹:
http://www.cnblogs.com/Yahong111/archive/2007/06/06/774236.html
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
