mvc html页面直接拼接sql字符串,后台接收,请尽可能找bug

[已关闭问题] 关闭于 2015-04-17 09:05

mvc html页面直接拼接sql字符串(浏览器浏览源代码可以直接看到,借助工具可以随便修改),ajax发送后台接收并返回结果

童鞋们,请尽可能给我找bug,然后跟写这个架子的人"沟通下",苍天啊

目前仅限于select语句,

我发现的问题是任何表都可以看

 1         public bool CheckDanSql(string strSql)
 2         {
 3             strSql = strSql.ToUpper().Replace("\r\n", "").Trim();
 4             return strSql.Length >= 6 &&
 5                 !(strSql.Substring(0, 6) != "SELECT") &&
 6                 (strSql.IndexOf("UPDATE") < 0 &&
 7                 strSql.IndexOf("INSERT") < 0 &&
 8                 strSql.IndexOf("DELETE") < 0 &&
 9                 strSql.IndexOf("DROP") < 0 &&
10                 strSql.IndexOf("CREATE") < 0 &&
11                 strSql.IndexOf("ALTER") < 0 &&
12                 strSql.IndexOf("EXEC") < 0 &&
13                 strSql.IndexOf("ADD") < 0) &&
14                 strSql.IndexOf("XP_CMDSHELL") < 0;
15         }

一个600人的公司搞的架子,这个.....

蓝风» | 初学一级 | 园豆：21
提问于：2013-11-12 23:17

< >

所有回答(2)

如果我的SQL本身内部又是通过拼字符串，然后用sp_execute来执行，这个方法不就摆设了

空明流光 | 园豆：111 (初学一级) | 2013-11-13 08:34

select 100 as c1,200 as c2

qiaofu119 | 园豆：202 (菜鸟二级) | 2020-09-09 10:19

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。

mvc html页面直接拼接sql字符串,后台接收,请尽可能找bug

欢迎，请先登录或者注册。