【ASP.NET】——SQL注入
关于SQL注入,师父给验收项目的时候就提过。但一直也没深入去想是怎么回事~~在学ASP.NET,做新闻发布系统的时候,又遇到了,这次不能放过了~~
定义
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.——百度百科
实验
系统中增加新闻类别SQL语句:
insert intocategoryinfo(name)values ('" + caName + "')
当我们在界面输入:娱乐八卦,点击增加新闻类别时
娱乐八卦将替换" + caName + "而执行。
于是,当我们在文本框中输入:
娱乐新闻')delete categoryinfo where id=13--
这段替换了" + caName + "会形成:
insert into categoryinfo(name)values ('娱乐新闻')delete categoryinfo where id=4--')";
相当于:
insert into categoryinfo(name)values ('娱乐新闻');
delete categoryinfo where id=4--')";
于是执行后前后对比效果为:
前: 后:
这就是SQL注入的一种效果。通过这种方法,将我们的数据库进行了破坏。通过SQL注入,是黑客得到数据库内部信息的一种方法,为了咱们系统的安全性,我们需要做好防护。
如何避免:
public int test() {
int res;
using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
{
cmd.Parameters .Add(new SqlParameter ("@caName","SQL注入成功"));
res = cmd.ExecuteNonQuery();
}
return res;
}
改为传参:
public int test() {
int res;
using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
{
cmd.Parameters.Add(new SqlParameter("@caName", "'娱乐新闻')delete categoryinfo where id=4--"));//SQL注入失败
res = cmd.ExecuteNonQuery();
}
return res;
}
这只是一种避免方法。