本文探讨了SQL注入这一常见且有效的攻击手段,并通过实验证明使用参数化查询和存储过程能有效抵御此类攻击。
<script type="text/javascript">google_ad_client = "pub-2048279401139630";google_ad_slot = "8856771542";google_ad_width = 728;google_ad_height = 90;document.write("<s"+"cript type='text/javascript' s"+"rc='http://pagead2.googlesyndication.com/pagead/show_ads"+"."+"js'></scr"+"ipt>");</script> Sql 注入是很常见的攻击方式,也是最有效的方式,稍有疏忽,就会留给攻击者可乘之机 。
今天测试的同事提出通过paros扫描我做的一个.net项目,说存在sql注入。我一想,怎么可能呢?因为我数据库处理的方式都是通过参数化方式或者存储过程的方式处理的。同事对于我说的用参数化方式进行处理可以避免Sql注入攻击持怀疑态度。为了拿出可靠证据,我就当场演示给他们看,其实过程很简单,就是把我们平常能够进行Sql注入的一些敏感字符串,例如“'”、“--”等等放在文本框,然后提交数据,看数据库里面的值就一目了然了。结果在数据库中的数据还是原样存放。这就充分说明了参数化查询方式只会把传过来的参数作为字符串,而不会作为Sql语句的一部分。所以通过参数化查询和存储过程都能有效避免sql注入攻击。
今天测试的同事提出通过paros扫描我做的一个.net项目,说存在sql注入。我一想,怎么可能呢?因为我数据库处理的方式都是通过参数化方式或者存储过程的方式处理的。同事对于我说的用参数化方式进行处理可以避免Sql注入攻击持怀疑态度。为了拿出可靠证据,我就当场演示给他们看,其实过程很简单,就是把我们平常能够进行Sql注入的一些敏感字符串,例如“'”、“--”等等放在文本框,然后提交数据,看数据库里面的值就一目了然了。结果在数据库中的数据还是原样存放。这就充分说明了参数化查询方式只会把传过来的参数作为字符串,而不会作为Sql语句的一部分。所以通过参数化查询和存储过程都能有效避免sql注入攻击。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
