首页 > 数据库技术 > 详细

2015-9-28 SQL注入攻击

时间:2015-09-28 22:18:41      阅读:334      评论:0      收藏:0      [点我收藏+]

SQL注入攻击实例

  (1)SQL命令插入到Web表单的输入域  或   页面请求的查询字符串,欺骗服务器执行恶意的SQL命令

    一个简单的登录页面

private bool NoProtectLogin(string userName, string password)
{
int count = (int)SqlHelper.Instance.ExecuteScalar(string.Format
       ("SELECT COUNT(*) FROM Login WHERE UserName=‘{0}‘ AND Password=‘{1}‘", userName, password));
return count > 0 ? true : false;
}

    方法中userName和 password 是没有经过任何处理,直接拿前端传入的数据,这样拼接的SQL会存在注入漏洞。(帐户:admin  123456)

    输入注入数据:用户名为:用户名:admin’—,密码可随便输入

http://www.cnblogs.com/heyuquan/archive/2012/10/31/2748577.html

2015-9-28 SQL注入攻击

原文:http://www.cnblogs.com/LingSWorld/p/4845009.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!