none
关于sql注入 RRS feed

  • 常规讨论

  • 现在“无聊人”很多。sql注入层出不穷。
    我们最常见的就是过滤
    delete|from|count\(|drop table|update|truncate|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|net user
    这些关键字
    前提是给中国人用还可以
    假如是国外的人用怎么办。在他们的文章里会出现关键字吧
    他们又是怎么解决的。

    所以我想让大家讨论讨论,怎么样防sql注入
    付出不一定有回报,不付出那就一定没有回报!
    2010年3月12日 9:37

全部回复

  • 你好!

    1 所有数据提交都使用参数的方式,不要自己组织SQL语句。如:

    comm.Parameters.AddWithValue("@Id", "value");

    2 合理的分配访问数据库帐号的权限,(尽量缩小权限)这样遇到问题时可以缩小损失。

    知识改变命运,奋斗成就人生!
    2010年3月12日 10:22
    版主