加固SQL参数与存储过程
发布时间:2012-03-12 19:44:08
本节为读者讲解如何利用ADO.NET本身的参数对象和存储过程技术防止注入攻击,以达到用户界面输入与原始SQL的分离,使黑客无法拼接SQL语句的目的。
SQL参数与存储过程
SQL参数是开发人员很容易忽视的一个环节,通常直接完成SQL语句,然后传递给数据库执行。这样的写法固然简单,但是也为注入攻击埋下了伏笔。如果要避免注入攻击,就要对SQL语句进行专门的过滤处理,但如果直接使用SQL参数对象就可以省去以上 环节。
SQL中的Parameters集合提供了类型检查和长度验证。如果研发人员使用Parameters集合,输入将被视为文本值进行处理,SQL不会将它视为可执行代码。使用Parameters集合的另一个好处是可以实施类型和长度检查,如果值超出范围将触发异常。这是纵深防范的一个好例子。尽可能地使用存储过程,而且应该通过Parameters集合调用它们。
下面通过几行代码说明如何使用参数集合对象,读者注意@au_id参数将被当作文本值而不是可执行代码。同样,对参数将进行类型和长度检查。在下面的示例中,输入值不能长于11个字符。如果数据不遵守参数所定义的类型或者长度,将出现异常。
Parameters集合演示代码如下:
SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin",conn);
myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;
SqlParameter parm = myCommand.SelectCommand.Parameters.Add(
"@au_id",SqlDbType.VarChar,11);
parm.Value = Login.Text;
请读者注意,使用存储过程并不一定能防止SQL注入。重要的是在存储过程中使用参数对象。如果不使用参数,存储过程使用未经筛选的输入时,就很容易遭到SQL注入攻击。例如,以下代码片段就存在问题:
SqlDataAdapter myCommand = new SqlDataAdapter("LoginStoredProcedure '" +
Login.Text + "'", conn);
正确的代码片段如下所示:
SqlDataAdapter myCommand = new SqlDataAdapter(
"SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id",conn);
SqlParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id",
SqlDbType.VarChar,11);
parm.Value = Login.Text;
猜你喜欢
- MySQL是一个开源的关系型数据库管理系统,支持多种操作语言,其中最基础、最常用的命令之一就是SELECT语句。在本篇文章中,这里将详细介绍
- 此次遇到的是一个函数使用不熟练造成的问题,但有了分析工具后可以很快定位到问题(此处推荐一个非常棒的抓包工具fiddler) 正文如
- Python中的最大整数Python中可以通过sys模块来得到int的最大值. python2中使用的方法是import sysmax =
- 不过,如果您需要查找文档中的一个特定的元素,最有效的方法是 getElementById()。 不过要注意的是使用getElementByI
- SQL Server备份是一项系统工程,十分耗费时间。由于运行期间数据库持续增长,所以相应的备份也要花掉更多时间。通常100G的数据库就被视
- 本文实例讲述了JavaScript实现的伸展收缩型菜单代码。分享给大家供大家参考。具体如下:运行效果截图如下:具体代码如下:<html
- 前言今天给大家带来的是Vue 3 中的极致防抖/节流(含常见方式防抖/节流)这篇文章,文章中不仅会讲述原来使用的防抖或节流方式,还会带来新的
- 操作系统:Win7IDE:PyCharm4.5.3Django:1.10.1报错代码:request.session['key
- 1. 从字典创建DataFrame>>> import pandas>>> dict_a = {'
- 本教程为大家分享了Python搭建HTTP服务器和FTP服务器的具体步骤,供大家参考,具体内容如下默认安装版本为pytho2.7http服务
- 一、 了解postman1. 什么是postman?------ 软件测试用来做接口测试的工具。2. 如何下载postman--
- 1、如果之前已经安装我们先卸载一下yum -y remove php*2、由于linux的yum源不存在php7.x,所以我们要更改yum源
- 如何在页面中对不同的数据进行相同的处理?selectId.asp' 列出所有客户的客户名称<html><
- 解决方案1.安装django-cors-headerspip install django-cors-headers2.配置settings
- 如下所示:原因1:版本不对,如用环境变量设置的python3.7路径,那么用的就是3.7的pip.exe安装了包。却用的是2.7的pytho
- python和PHP的难易程度并没有明确的界限,如果是零基础的小白,建议学php会好一些,原因大公司小公司创业公司非互联网公司,都会用到ph
- 本文实例为大家分享了python分割一个文本为多个文本,供大家参考,具体内容如下# load file# for each row## if
- 蚁群算法简介蚁群算法(Ant Clony Optimization, ACO)是一种群智能算法,它是由一群无智能或有轻微智能的个体(Agen
- 最近设计一个优惠券列表,有个属性是有效日期,因为空间有限,必须要把开始日期和结束日期在一行显示,这样就出现一排的数字,日期有好几种我们习惯的
- 描述max() 方法返回给定参数的最大值,参数可以为序列。语法以下是 max() 方法的语法:max( x, y, z, .... )参数x