堆栈内存溢出
  繁体   English   中英

此代码容易受到SQL注入的攻击吗?

[英]is this code vulnerable to SQL Injections?

 原文  2014-06-30 22:42:51       asp.net/ sql/ sql-server/ security/ code-injection

问题描述

页面加载时,您必须填写一些文本框,然后单击添加: 

tbSpyReports spyReport = new tbSpyReports();
spyReport.sgCityLevel = Convert.ToInt32(tbCityLevel.Text);
spyReport.sgCityName = tbCityName_insert.Text; 
....
spyReport.insert();
Response.Redirect(Request.RawUrl);


SqlConnection con = ikaConn.getConn();
SqlCommand command = new SqlCommand("INSERT INTO spyReports(cityName, playerName, cityId,      islandId, cordX, cordY, " + "cityLevel, cityWall, cityWarehouse, Wood, Wine, Marble, Crystal, Sulfur, hasArmies) VALUES(" + "@cityName, @playerName, @cityId, @islandId, @cordX, @cordY, " + "@cityLevel, @cityWall, @cityWarehouse, @Wood, @Wine, @Marble, @Crystal, @Sulfur, @hasArmies)", con);
command.Parameters.Add(new SqlParameter("cityName", this.cityName));
command.Parameters.Add(new SqlParameter("playerName", this.playerName));
....
command.ExecuteNonQuery();
command.Dispose();

1 个解决方案

解决方案1
 0  2014-06-30 22:46:13

它不应该受到这种形式的传统SQL注入的攻击: 

statement = "SELECT * FROM users WHERE name ='" + userName + "';"

当您使用参数化查询时。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在gridview中防止SQL注入 SQL注入仍然是威胁吗? Preparedquery容易受到Sql注入的攻击 SQL注入的其他可能方式? 这个LINQ语句是否容易受到SQL注入攻击? 参数真的足以防止 Sql 注入吗? 如何防止SQL Azure中的ASP.NET SQL注入 如何在SQL Server中删除发薪日贷款SEO垃圾邮件注入? Oracle数据库和.NET(C#)-如何防止SQL注入 依赖项注入错误
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM