strWhere的防sql注入解决思路
日期:2014-05-18 浏览次数:20494 次
strWhere的防sql注入
动软生成的public DataSet GetListByPage(string strWhere, string orderby, int startIndex, int endIndex)这个方法,strWhere是拼接的sql,怎么防止注入呢?动软生成的这个方法很不安全啊??
------解决方案--------------------
用参数代替
或者存储过程
------解决方案--------------------
------解决方案--------------------
可以用参数代替
若是想偷懒 也可以关键字过滤
http://topic.csdn.net/u/20120305/09/7d0ebb0a-cbc5-43ba-92e9-f476bb26556d.html
------解决方案--------------------
------解决方案--------------------
生成参数给的好奇怪,和写sql区别不大了
防注入要在前面做限制
道了sql这里应该都被屏蔽了才对
------解决方案--------------------
'转成''
在你调用public DataSet GetListByPage这个方法时传的参数中转
------解决方案--------------------
不要纠结一两个词儿、靠抠字眼来判断技术。请给出深一层的具体分析。
------解决方案--------------------
动网 --> 动软
断章取义你当然可以找到很多可攻击的点。例如看到网上有卖避孕套的,可以说“这样不就助长强奸团伙作案嘛”;看到商店里有卖菜刀的,可以说“这样不就助长杀人犯作案嘛,很不安全啊”。结果除了无以复加地搞繁琐以外,可能也没有什么进步。
动软或许在人家调用这个方法的时候,已经对strWhere中的内容进行了处理,例如对于sql语句中的字符串常量中的单引号替换为两个单引号,例如对与其它类型的数据验证过了确实那个类型的数据,人家做过了,那么掉用这个方法就非常自然,没有任何问题。这就好象是避孕套、菜刀一样,不用你在这一层再次搞什么实名过滤。
动软生成的public DataSet GetListByPage(string strWhere, string orderby, int startIndex, int endIndex)这个方法,strWhere是拼接的sql,怎么防止注入呢?动软生成的这个方法很不安全啊??
------解决方案--------------------
用参数代替
或者存储过程
------解决方案--------------------
------解决方案--------------------
可以用参数代替
若是想偷懒 也可以关键字过滤
http://topic.csdn.net/u/20120305/09/7d0ebb0a-cbc5-43ba-92e9-f476bb26556d.html
------解决方案--------------------
------解决方案--------------------
生成参数给的好奇怪,和写sql区别不大了
防注入要在前面做限制
道了sql这里应该都被屏蔽了才对
------解决方案--------------------
'转成''
在你调用public DataSet GetListByPage这个方法时传的参数中转
------解决方案--------------------
不要纠结一两个词儿、靠抠字眼来判断技术。请给出深一层的具体分析。
------解决方案--------------------
动网 --> 动软
断章取义你当然可以找到很多可攻击的点。例如看到网上有卖避孕套的,可以说“这样不就助长强奸团伙作案嘛”;看到商店里有卖菜刀的,可以说“这样不就助长杀人犯作案嘛,很不安全啊”。结果除了无以复加地搞繁琐以外,可能也没有什么进步。
动软或许在人家调用这个方法的时候,已经对strWhere中的内容进行了处理,例如对于sql语句中的字符串常量中的单引号替换为两个单引号,例如对与其它类型的数据验证过了确实那个类型的数据,人家做过了,那么掉用这个方法就非常自然,没有任何问题。这就好象是避孕套、菜刀一样,不用你在这一层再次搞什么实名过滤。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
