首页新闻找找看学习计划

mvc html页面直接拼接sql字符串,后台接收,请尽可能找bug

1
[已关闭问题] 关闭于 2015-04-17 09:05

mvc html页面直接拼接sql字符串(浏览器浏览源代码可以直接看到,借助工具可以随便修改),ajax发送后台接收并返回结果

童鞋们,请尽可能给我找bug,然后跟写这个架子的人"沟通下",苍天啊
 
目前仅限于select语句,
我发现的问题是任何表都可以看
 
 1         public bool CheckDanSql(string strSql)
 2         {
 3             strSql = strSql.ToUpper().Replace("\r\n", "").Trim();
 4             return strSql.Length >= 6 &&
 5                 !(strSql.Substring(0, 6) != "SELECT") &&
 6                 (strSql.IndexOf("UPDATE") < 0 &&
 7                 strSql.IndexOf("INSERT") < 0 &&
 8                 strSql.IndexOf("DELETE") < 0 &&
 9                 strSql.IndexOf("DROP") < 0 &&
10                 strSql.IndexOf("CREATE") < 0 &&
11                 strSql.IndexOf("ALTER") < 0 &&
12                 strSql.IndexOf("EXEC") < 0 &&
13                 strSql.IndexOf("ADD") < 0) &&
14                 strSql.IndexOf("XP_CMDSHELL") < 0;
15         }

 

一个600人的公司搞的架子,这个.....

蓝风»的主页 蓝风» | 初学一级 | 园豆:49
提问于:2013-11-12 23:17
< >
分享
所有回答(1)
0

如果我的SQL本身内部又是通过拼字符串,然后用sp_execute来执行,这个方法不就摆设了

沧海一杰 | 园豆:48 (初学一级) | 2013-11-13 08:34
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册