你的網站正在裸奔嗎?

# Drick said on 13 May, 2008 10:05 PM

你好,我是新手:

cmd.CommandText = "SELECT Title, Content, Date FROM tblNews WHERE id=" + Request["id"];

想問問這行為什麼會等同於完全公諸於世??

是不是因為沒有用上parameter 把id 引進?

其實使用SQLCommand的parameter是不是真的可以完全解決SQL Injection問題?

# Jeffrey said on 13 May, 2008 11:06 PM

To Drick, 把使用者輸入的內容"直接"變成SQL指令的一部分會讓使用者有機會直接對你的DB下SQL指令，廣義一點來說，只要是使用者輸入的內容，變成網頁的Javascript、DOS或Shell的指令，都一樣有危險。

文中有兩個Link連結到我的兩篇文章，建議你可以參考一下，裡面說得蠻詳細的。

# 蝌蚪 said on 14 May, 2008 11:02 PM

今天早上公司內部開了個有關 SQL Injection 的會議, 會中同事所準備的投影片中有一個 link 覺得眼熟, 仔細一看 URL 發現就是李兄的這篇文章~~

多謝李兄分享 :p

# Doris said on 08 September, 2008 07:50 PM

請問一下

文章中的問題二

有提供一隻檢查副程式

其中

if(StrUserid="" or not Is Numeric(StrUserid)) then

裡面的您說的空值 ? 真的是"" 還是 "(空白)"

因為我放"" 一直沒有通過 ..

謝謝您的時間

# Jeffrey said on 08 September, 2008 10:49 PM

to Doris，該範例用於ASP，QueryString中未給UserId參數，Request("UserId")會得到""(空字串)，但如果是在ASP.NET中，Request["UserId"] == null(以C#為例)，不知你的困擾是不是發生在這上面?

題外話，即使加了參數檢查還是可能會有疏漏，在查詢DB時改用Parameter物件傳參數應該還是較根本的解決做法。

# Phl said on 25 November, 2010 03:05 PM

搞了很多年的PL SQL.最近改搞ASP MVC. 原來當中還有如此學問. 謝過版主了.

你的看法呢?

標題 (必要的) 

姓名 (必要的) 

你的URL (選擇性的)

意見 (必要的) 

Remember Me?

(提醒: 因快取機制，您的留言幾分鐘後才會顯示在網站，請耐心稍候)

CAPTCHA / 驗證碼 :

5 + 3 =

搜尋