sql注入漏洞攻击
2012-11-27 10:19
295 查看
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Data.SqlClient;
namespace sql注入漏洞攻击
{
public partial class sql漏洞 : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void Login_Click(object sender, EventArgs e)
{
string constr = "data source=.;initial catalog=Landing;user id=sa;password=admin";
using (SqlConnection con = new SqlConnection(constr))
{
//一般的方法,担有sql漏洞
//string sql = string.Format("select count(*) from login where username='{0}'and password='{1}'", tbUserName.Text.Trim(), tbPassword.Text.Trim());
//以上这种拼接sql语句的方法有sql注入漏洞攻击的问题'jk or 1=1 --
//如何避免注入漏洞攻击呢?使用参数的方法或存储过程的方法
//防止sql漏洞的方法
string sql = "select count(*) from ligin where
username=@username and password=@password";
using (SqlCommand cmd = new SqlCommand(sql, con))
{
con.Open();
//放漏洞方法开始:
//防止sql漏洞的方法:把其包装成存储过程来执行
//在数据服务器端执行sql语句前需要告诉它@username,@password是谁
cmd.Parameters.AddWithValue("@username", tbUserName);//用@username替换tbUserName的值
cmd.Parameters.AddWithValue("@password", tbPassword);
//把单引号,转意为字符串的方法前加一个单引号
//在sql中的参数都是以@开始的,
//放漏洞方法结束
int number = Convert.ToInt32(cmd.ExecuteScalar());
con.Close();//可以提前关闭连接,提高效率
if (number > 0)
{
Response.Write("登陆成功!");
}
else
{
Response.Write("登录失败!");
}
}
}
}
}
}
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Data.SqlClient;
namespace sql注入漏洞攻击
{
public partial class sql漏洞 : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void Login_Click(object sender, EventArgs e)
{
string constr = "data source=.;initial catalog=Landing;user id=sa;password=admin";
using (SqlConnection con = new SqlConnection(constr))
{
//一般的方法,担有sql漏洞
//string sql = string.Format("select count(*) from login where username='{0}'and password='{1}'", tbUserName.Text.Trim(), tbPassword.Text.Trim());
//以上这种拼接sql语句的方法有sql注入漏洞攻击的问题'jk or 1=1 --
//如何避免注入漏洞攻击呢?使用参数的方法或存储过程的方法
//防止sql漏洞的方法
string sql = "select count(*) from ligin where
username=@username and password=@password";
using (SqlCommand cmd = new SqlCommand(sql, con))
{
con.Open();
//放漏洞方法开始:
//防止sql漏洞的方法:把其包装成存储过程来执行
//在数据服务器端执行sql语句前需要告诉它@username,@password是谁
cmd.Parameters.AddWithValue("@username", tbUserName);//用@username替换tbUserName的值
cmd.Parameters.AddWithValue("@password", tbPassword);
//把单引号,转意为字符串的方法前加一个单引号
//在sql中的参数都是以@开始的,
//放漏洞方法结束
int number = Convert.ToInt32(cmd.ExecuteScalar());
con.Close();//可以提前关闭连接,提高效率
if (number > 0)
{
Response.Write("登陆成功!");
}
else
{
Response.Write("登录失败!");
}
}
}
}
}
}
相关文章推荐
- 11-27 SQL注入漏洞攻击
- 什么是注入式攻击 彻底堵死SQL注入工具漏洞
- 11.27Sql注入漏洞攻击
- 【黑马程序员】登录时防止SQL注入漏洞攻击
- SQL注入漏洞攻击、数据库导入导出[从txt中导入导出]
- SQL注入漏洞攻击
- (2)C#之ADO.Net 如何解决SQL注入漏洞攻击
- sql注入漏洞攻击
- 【黑马程序员】参数化查询,避免sql注入漏洞攻击(学习笔记)
- 防范SQL注入漏洞攻击
- PHP代码网站如何防范SQL注入漏洞攻击建议分享
- 3.初识Sql注入漏洞攻击
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- SQL注入漏洞攻击
- php防止sql注入漏洞代码 && 几种常见攻击的正则表达式
- 如何检测SQL注入和CSS攻击漏洞
- SQL注入漏洞攻击
- ADO.NET防止SQL注入漏洞攻击,两种参数查询
- PHP代码网站如何防范SQL注入漏洞攻击建议
- PHP防范SQL注入漏洞攻击建议