存储过程分页的注入问题以及解决
2014-04-20 22:11
453 查看
最近发现,很久以前的一个
项目中的查询竟然会注入sql,原来是使用的通用的存储过程分页,里面有个参数是@wherestr,这个参数是在拼接sql,所以会造成注入,这个真是蛋疼的问题。
很多人没发现这个问题,所以在这里说一说,也希望找到完美的解决方法,首先过滤是不行的,过滤说白了是在改变用户的意志。所以我就写了一个通用分页的方法,动态拼接sql,这样参数化就可以完全分开了
首先先说一下究竟是怎么回事
以下是先用 存储过程分页
分页存储过程是从网上随便找的其中有个参数是@wherestr
(1)按钮事件
(2)调用的tc.pagdateExecute()
(3)
最后没办法,只能放弃存储过程的分页,写个通用的分页方法,虽然会损失效率但是相比sql注入和过滤是值得的。
最后希望大家能说说自己的看法,不过千万别说什么过滤之类的------
-------------------------------------欢迎指导讨论-------------------------------
项目中的查询竟然会注入sql,原来是使用的通用的存储过程分页,里面有个参数是@wherestr,这个参数是在拼接sql,所以会造成注入,这个真是蛋疼的问题。
很多人没发现这个问题,所以在这里说一说,也希望找到完美的解决方法,首先过滤是不行的,过滤说白了是在改变用户的意志。所以我就写了一个通用分页的方法,动态拼接sql,这样参数化就可以完全分开了
首先先说一下究竟是怎么回事
以下是先用 存储过程分页
分页存储过程是从网上随便找的其中有个参数是@wherestr
(1)按钮事件
public void tranDatabind(int pageindex) { StringBuilder sb = new System.Text.StringBuilder(" 1=1"); int count = 0; testClass tc = new testClass(); if (this.textBox1.Text != "") { sb.Append(" and teststr like '%"+this.textBox1.Text+"%'"); } this.dataGridView1.DataSource = tc.pagedataExecute(pageindex, sb.ToString(), out count); this.pageControler1.PageIndex = 1; this.pageControler1.RecordCount = count; }
(2)调用的tc.pagdateExecute()
public DataTable pagedataExecute(int pageindex,string wherestr,out int count) { return SqlHelper.ExecuteDataPage("Table_1", pageindex, 10, "id", "*",wherestr, "id desc", out count); }
(3)
SqlHelper.ExecuteDataPage里的wherestr参数 new SqlParameter("@Filter",where);........
我写这些是说明我这里的确用了参数化,但是是在参数化里实行了sql拼接,这是错误的关键所在。然后查询一个单引号
最后没办法,只能放弃存储过程的分页,写个通用的分页方法,虽然会损失效率但是相比sql注入和过滤是值得的。
public static DataTable ExecutePage(string tableName,string pk,string sort,int pageNumber,int pageSize,string Fields,string Filter,out int recordCount,SqlParameter[] pars) { StringBuilder sqlsb = new StringBuilder(); StringBuilder wheresb = new StringBuilder(); if (!string.IsNullOrEmpty(Filter)) { wheresb.Append("where "+ Filter); } sqlsb.Append("select count("+pk+") as recordcount from "+tableName+" "+ wheresb+";" ); if(string.IsNullOrEmpty(sort)) { sort = pk + " desc"; } if (pageNumber < 1) { pageNumber = 1; } string startid = ((pageNumber - 1) * pageSize + 1).ToString(); string endid = (pageNumber * pageSize).ToString(); sqlsb.Append("select * from (select " + Fields + ",row_number() over( order by " + sort + ") as rownum from " + tableName + " " + wheresb + ") as T where rownum between "+startid+" and "+endid); DataSet ds = new DataSet(); if (pars != null) { ds= SqlHelper.ExecuteDataset(CommandType.Text, sqlsb.ToString(), pars); } else { ds= SqlHelper.ExecuteDataset( sqlsb.ToString()); } recordCount =(int)ds.Tables[0].Rows[0]["recordcount"]; ds.Tables[1].Columns.Remove("rownum"); return ds.Tables[1]; }
最后希望大家能说说自己的看法,不过千万别说什么过滤之类的------
-------------------------------------欢迎指导讨论-------------------------------
相关文章推荐
- Asp.net中DataGrid控件的自定义分页以及存储过程的问题
- 关于coolite grid 存储过程分页的问题,忘大虾解决...
- 多表查询分页存储过程,解决了第二页不显示的问题
- 多表查询分页存储过程,解决了第二页不显示的问题
- 通用分页存储过程注入问题解决方案:不用存储过程,通用分页查询方法
- ASP分页存储过程问题,求解决
- Asp.net中DataGrid控件的自定义分页以及存储过程的问题
- Oracle数据库编译存储过程挂死问题解决办法
- 如何解决Remoting无法传输存储过程参数的问题
- 解决SQL中in参数在存储过程中的传递问题
- java.sql.SQLException: 关闭的连接问题及hibernate clob缓冲流存储的解决过程记录
- oracle 11g安装过程中的所有问题以及解决方法
- 使用maven的mybatis-generator生成实例和mapping过程以及可能出现问题解决
- 存储过程中“Select Top 变量”的问题如何解决
- OGRE 2.1 使用VS2015编译的过程以及问题的解决
- 使用复制存储过程执行解决“事务复制中的表大量更新导致无法及时同步”的问题 (转)
- 1 用存储过程实现分页,除了上一页,下一页,第一页,和末页外还要有go按钮,以及go到那里的文本框。另外还要在Lable显示“当前x页,一共y页”。注意验证控件的使用和 链接存储过程的内容。
- 记录安装opencv的过程和碰到的问题以及解决方法
- 如何解决Remoting无法传输存储过程参数的问题