| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 981 人关注过本帖
标题:登录窗口SQL数据查询安全问题???
只看楼主 加入收藏
寒行
Rank: 1
来 自:厦门软件学院
等 级:新手上路
帖 子:61
专家分:0
注 册:2008-6-29
结帖率:100%
收藏
 问题点数:0 回复次数:5 
登录窗口SQL数据查询安全问题???
通常我们对登录窗口比较是否是该用户时,sql语句是:(strMd5是已加密的密码)
"selelct * from Users where UserAccount="+"'"+UserName+"'"+"And UserPwd="+"'"+strMd5+"'";
我觉得,这样的话,还是存在sql注入的漏洞,请各位高手指点指点,该怎么解决这个问题??谢谢
搜索更多相关主题的帖子: SQL 窗口 数据 查询 登录 
2008-09-27 08:23
hebingbing
Rank: 6Rank: 6
来 自:黄土高坡
等 级:贵宾
威 望:27
帖 子:3417
专家分:371
注 册:2007-10-22
收藏
得分:0 
public string HtmlEncode(string str)
        {
            str = str.Replace("&", "&");
            str = str.Replace("<", "&lt;");
            str = str.Replace(">", "&gt");
            str = str.Replace("'", "''");
            str = str.Replace("*", "");
            str = str.Replace("\n", "<br/>");
            str = str.Replace("\r\n", "<br/>");
            str = str.Replace("select", "");
            str = str.Replace("insert", "");
            str = str.Replace("update", "");
            str = str.Replace("delete", "");
            str = str.Replace("create", "");
            str = str.Replace("drop", "");
            str = str.Replace("delcare", "");
            if (str.Trim().ToString() == "") { str = "无"; }
            return str.Trim();
        }
2008-09-27 12:03
徐强
Rank: 2
等 级:新手上路
威 望:3
帖 子:72
专家分:0
注 册:2007-3-30
收藏
得分:0 
方法很多
第一用变量代替传的参数
第二过滤危险字符。个人觉得还是第一种比较好。
危险字符交给微软处理就是
2008-09-27 13:59
shmilylee
Rank: 2
来 自:江苏扬州蹩脚小公司
等 级:论坛游民
威 望:2
帖 子:242
专家分:22
注 册:2007-7-6
收藏
得分:0 
存储过程
2008-09-27 15:30
hw1024
Rank: 1
等 级:新手上路
帖 子:35
专家分:0
注 册:2008-3-11
收藏
得分:0 
使用 sqlcommand 带参数执行 sql最安全

C#, Web开发,javascript、Ajax群:64913828
2008-09-30 16:35
frankqnj
Rank: 4
等 级:贵宾
威 望:12
帖 子:320
专家分:278
注 册:2008-4-6
收藏
得分:0 
不要直接使用语句  缺点你自己都说了   有被注入的危险
另外的危险就是 增加了数据传输

so   全部用存储过程 . 不用客气.
2008-09-30 19:46
快速回复:登录窗口SQL数据查询安全问题???
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.038308 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved