A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© xiaoxiang_04 中级黑马   /  2013-2-25 14:05  /  1476 人查看  /  1 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

本帖最后由 xiaoxiang_04 于 2013-2-25 14:12 编辑

之间对数据库连接也有些了解,今天看完杨老师的视频,让我对数据库连接也有了新的认识,最重点的是发现以前的写法是有漏洞的。。。{:soso_e136:}
注册漏洞攻击主要是体现在用户输入恶意数据,通过拼接SQL语句来达到盗取数据的目的。

能被攻击的代码如下。。
string name =TextBox1.Text;\\输入name值
using (SqlConnectioncon = new SqlConnection("Data Source=.;Initial Catalog=lianxi;UserID=sa;Password="))\\数据库连接语句
            {
                con.Open();\\打开数据库
                using(SqlCommand cmd = con.CreateCommand())\\定义SqlCommand对象,用来处理SQL语句
                {
                      cmd.CommandText="select * from message where name=”name”";\\Sql语句
                      using(SqlDataReader reader=cmd.ExecuteReader())\\执行sql语句
                            {
                                while (reader.Read())\\逐条读取数据库中的查询结果
                                {
                                    string name=reader.GetString(2);\\读取第三列的值
                                    MessageBox.Show(name);\\输出值内容
                                }
                            }
                }
            }
   这样运行以后输入相应的name,数据将返回它在数据表中对应第三列数据,虽然看似没有问题,但是对于懂SQL的程序员来说,他可以输入另一种写法来改变SQL语句的本义。之前的SQL 语句是 select * from messagewhere name=”name”‘,假设name值为“哈哈”,那么SQL语句就是select * from message where name=‘哈哈‘,但是如果将输入的name值设置为 1’ or ‘1’=’1,那么数据库所读取的SQL语句就是select * from message where name=1 or  1=1‘,因为1=1‘永远为true那么where语句就会认为条件满足,将会输出数据库中所有想要列的数据(只要修改reader.GetString(2)中的列号就可以了)。

   为了防止注册漏洞攻击,需要以参数的形式来传入输入的参数,这样修改以后就避免了SQL语句的拼接,只会将输入的name值与数据表中的name数据列作比较,比如如果再输入1’ or ‘1’=’1SQL会认为name的值为1’ or ‘1’=’1,并去name列中查找1’ or ‘1’=’1字段,这样就避免了SQL语句拼接,也就是注册漏洞攻击,代码如下

   string name= textBox1.Text;
            
            using(SqlConnection con = new SqlConnection("Data Source=.;Initial Catalog=lianxi;UserID=sa;Password=" ))
            {
                con.Open();
                using(SqlCommand cmd = con.CreateCommand())
                {
                   cmd.CommandText = "select* from message where name=@name";\\修改部分
                    cmd.Parameters.Add(new SqlParameter("@name",name)); \\修改部分
                    using(SqlDataReader reader = cmd.ExecuteReader())
                    {
                        while (reader.Read())
                        {
                            string name1 = reader.GetString(2);
                            MessageBox.Show(name1);
                        }
                        
                    }
                }
            }



如果有不对的地方,欢迎大家批评指正,共同讨论进步~~~{:soso_e138:}


评分

参与人数 1技术分 +1 收起 理由
张文 + 1

查看全部评分

1 个回复

倒序浏览
学习了。
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马