1》用存储过程
CREATE PROCEDURE [dbo].[sp_us_CheckUserInfo]
@LoginName varchar(30),
@Password varchar(60)
AS
Select * from us_User LoginName=@LoginName and Password=@Password
GO
// 检查用户名和密码是否正确
Private DataSet CheckUserInfo(string userName, string pwd)
{
SqlParameter[] parms = new SqlParameter[]
{ new SqlParameter("@LoginName", SqlDbType.VarChar, 30),
new SqlParameter("@Password", SqlDbType.VarChar, 60) };
parms[0].Value = userName;
parms[1].Value = pwd;
// 这里使用了SqlHelper类
return SqlHelper.ExecuteDataset(_connectString, CommandType.StoredProcedure, "sp_us_CheckUserInfo", parms);
}
2》过滤非法字符,对特殊字符进行过滤|and|1=1|exec|insert|select|delete|update|like|count|chr|mid|master|or|truncate|char|declare|join
这是网上的方法,但因为这里的单词都是常用的,过滤是很不实际的,
那么就会替换的方法将上面的关键字全都做如下操作
如:Delete用正则替换为D-e-l-e-t-e
在数据库里面读取出来就用正则将D-e-l-e-t-e替换为Delete
3》使用参数传值的SQL语句
1:不进行如sql="Select * from tab where name ='"+name+"'" //这种方法
全都改为传参sql="Select * from tab where name =@name" //这种方法
[size=medium][/size]
分享到:
相关推荐
基于.NET的SQL注入式攻击防范策略.pdf
sql注入式攻击与防范秘籍
ASP.NET下如何防范SQL注入式攻击
SQL注入式攻击下的数据库安全——SQL Server下SQL注入攻击的有效防范.pdf
ASP.NET中如何防范SQL注入式攻击 自己看,共3页,感觉还是有点用处
SQL注入式攻击的分析与防范 学术论文 有深度
浅析SQL注入式攻击与防范.pdf
sql注入式 sql注入式(SQL injection)攻击与防范
SQL注入式攻击及其防范措施研究.pdf
ASP中SQL注入式攻击的防范探析.pdf
SQL注入式攻击研究及防范.pdf
一、什么是SQL注入式攻击? SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
SQL注入式攻击就是利用设计上的漏洞,将SQL命令插入到Web表单( form)的输入域或者Web页面请求的查询字符串中,在目标服务器上运行SQL命令以及进行其他方式进行攻击,动态生成SQL命令时没有对用户输入的数据进行验证,...
在当今的数字世界中,人们发现在维持公开的Internet连接的同时,保护网络和计算机系统的安全变得越来越困难。病毒、木马、后门、蠕虫等攻击层出不穷,虚假...对SQL注入式攻击的过程做出分析,并提出检测方法和防范措施。
7. 防范Sql注入式攻击 27 8.PHP与SQL注入攻击 29 9.SQL注入攻击零距离 30 10.SQL注入技术和跨站脚本攻击的检测 34 11.菜鸟入门级:SQL注入攻击 39 12. SQL注入渗透某网络安全公司的网站全过程 42 13.利用SQL注入2...
浅谈sql注入式(SQL injection)攻击与防范
SQL注入式攻击的分析与防范.pdf
PHP中SQL注入式攻击的实现与防范。
ASP.NET中如何防范SQL注入式攻击.pdf