【黑马程序员】登录时防止SQL注入漏洞攻击

gaofen100

浏览: 1187453 次

最近访客更多访客>>

上天的败笔

u012363178

lgx2351

stateis0

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1655)

社区版块

存档分类

----------------------Windows Phone 7手机开发、.Net培训、期待与您交流！ ----------------------

防止SQL注入漏洞攻击的方法：不使用SQL语句拼接，通过参数赋值。

使用SQL语句拼接时，用密码1' or '1'='1，可以登录成功。所以为了网站的安全，还是通过参数赋值的方式来登陆。

class Program
    {
        static void Main(string[] args)
        {
            Console.WriteLine("请输入用户名：");
            string username = Console.ReadLine();
            Console.WriteLine("请输入密码：");
            string pwd = Console.ReadLine();

using (SqlConnection conn = new SqlConnection("data source=.;database=ado;uid=ado;pwd=123;"))
            {
                conn.Open();

using (SqlCommand cmd = new SqlCommand())
                {
                    cmd.Connection = conn;
                    cmd.CommandText = "select count(*) from users where username='" + username + "'and password='" + pwd + "'";
                    //用以上的SQL语句拼接，会出现注入漏洞。。。。。用密码1' or '1'='1，都能登录成功
                   
                    //参数赋值
                   //cmd.CommandText = "select count(*) from users where username=@UN and password=@PWD";
                    //cmd.Parameters.Add(new SqlParameter("UN", username));
                    //cmd.Parameters.Add(new SqlParameter("PWD", pwd));
                    int i = Convert.ToInt32(cmd.ExecuteScalar());
                    if (i > 0)
                    {
                        Console.WriteLine("登录成功");
                    }
                    else
                    {
                        Console.WriteLine("用户名或密码错误！");
                    }
                }
            }
     
            Console.ReadKey();
        }
    }

----------------------Windows Phone 7手机开发、.Net培训、期待与您交流！ ----------------------

分享到：