首页 新闻 赞助 找找看

sql注入的问题

0
悬赏园豆:5 [已解决问题] 解决于 2008-09-17 17:27

我页面查询条件是dropdownlist中选择值,假如我拼接sql,能发生sql注入吗

 

是通过button提交的,不是通过url传递参数

999999999999999的主页 999999999999999 | 初学一级 | 园豆:3
提问于:2008-09-16 11:57
< >
分享
最佳答案
0

黑客的手段有时是令人瞠目结舌的,虽然乍看上去你的下拉选项是预定好的,不会发生用户代码注入,但谁知道下拉项会不会被篡改。为了绝对安全也罢,为了养成良好习惯也罢,建议兄弟还是保险起见统统用 SqlParameter 的形式加入参数。或许可以试验一下:有个可以脚本注入的漏洞,通过此漏洞更改下拉框的选项,然后通过提交下拉框的当前值完成 sql 注入。期待专家的解答,关注一下。

陛下 | 老鸟四级 |园豆:3938 | 2008-09-16 12:19
其他回答(4)
0

很明显可以的,首先你的参数全是来自于客户端的HTTP请求,那么自然可以伪造一个HTTP请求来达到注入的目的,因此还是用Parameter吧

Gray Zhang | 园豆:17610 (专家六级) | 2008-09-16 12:58
0

用SQL参数来做,拼接是不安全的

zjy | 园豆:3194 (老鸟四级) | 2008-09-16 13:46
0

建议使用objectdatasource或sqldatasource帮定,参数,这样可以很好的解决sql注入而且还支持cache

阿新 | 园豆:84 (初学一级) | 2008-09-16 19:26
0

下拉列表框的值是可以修改的,IE Dom就可以实现。为了安全起见使用Parameter不要使用SQL拼接字符串。

侯垒 | 园豆:3435 (老鸟四级) | 2008-09-16 19:28
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册