string.Format 并不能防止SQL注入攻击才对，由于死活不信邪，特意做了测试来证明一下的确存在SQL注入攻击危险

         private   void  StringFormat()
        {
             string  userName  =   " jiri'gala " ;
             string  password  =   " 123456 " ;
             string  sqlQuery  =   string .Format( " SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{1}' " , userName, password);
             //  通过接口定义，打开一个数据库
            IDbHelper dbHelper  =   new  SqlHelper();
             //  按指定的数据库连接串，打开数据库连接
            dbHelper.Open( " Server=JIRIGALA-PC;Database=UserCenterV30;Uid=sa;Pwd=sa; " );
            dbHelper.ExecuteNonQuery(sqlQuery);
            dbHelper.Close();
        }

 

收到一封博客园网友的回复后，我总觉得string.Format 并不能防止注入攻击啊, string.Format 并没有那么神奇的功能啊。

 

看原文的，从表面上，绝对是没防止SQL注入攻击，除非是底层又进行了处理，否则很明显是存在注入攻击的，源码如下：

 

代码

protected   void  btnLogin_Click( object  sender, EventArgs e)
    {
        MAction action  =   new  MAction(TableNames.Users);
         if (action.Fill( string .Format( " UserName='{0}' and Password='{1}' " , txtUserName.Text.Trim(), txtPassword.Text.Trim())))
        {
            Session[ " ID " ]  =  action.Get < int > (Users.ID);
            action.Close();
            Response.Redirect( " Default.aspx " );
        }
         else
        {
            lbMsg.Text  =   " 用户密码错误! " ;
            action.Close();
        }
    }

 

 

当时的回复如下：

 

#Re:CYQ.Data 轻量数据层之路 华丽升级 V1.3出世(五)

@吉日嘎拉 不仅权限管理
这样写是看起来好看点，和你组合一个样。
注入的问题，写法无关。
你可以测试一下，成功注入了再留个言。 作者: 路过秋天  
主页: http://www.cnblogs.com/cyq1162/
URL: http://www.cnblogs.com/cyq1162/archive/2010/08/20/1803391.html#1898407

 

 

 

一篇参考文章

简单高效防注入攻击的动态多参数、动态SQL语句拼接方法，提高网站的安全性