大家存在5點誤區:
1、sql注入比較難防,需要替換select,delete等一打字符
其實對於字符型替換再多都沒有替換單引號爲兩個單引號來的好!對於數字型替換再多都沒有用,一定要類型轉換。
2、忽略DropDownList傳來的東西
其實是不對的,一切客戶端的東西都是不可信任的,select下拉框也是!因爲可以自己做一個htm提交到服務器。
3、access比sqlserver不安全
安全不安全關鍵看怎麼用,如果sqlserver還是像access一樣用,一個sa帳戶的話,很明顯,sqlserver比access不安全,可以直接得到表名和字段名!access反而倒安全點了,因爲只能通過逐位猜解得到。
4、網站沒有顯示出錯信息就說明網站是安全的
當有記錄的時候顯示記錄,沒有記錄的時候顯示找不到任何記錄,通過這兩種狀態就可以猜解字段名了,所以網頁不出錯不能說明是安全的
5、忽略post提交的信息
很多人對url上傳遞的東西過濾嚴格,對於post的東西不理不睬是不對的,post的東西更加容易被注入,因爲一般字段比較多
在asp.net中強烈建議通過參數來實現sql而不是sql拼接,因爲就算你每一個都過濾百密難有疏
比如:
SqlConnection conn=new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["conn"]);
SqlCommand comm=new SqlCommand("update tb1 set vName=@vName,iAge=@iAge where ID=@id",conn);
SqlParameter parm1=new SqlParameter("@vName",SqlDbType.NVarChar,50);
parm1.Value=((TextBox)e.Item.FindControl("name")).Text;
SqlParameter parm2=new SqlParameter("@iAge",SqlDbType.Int);
parm2.Value=((TextBox)e.Item.FindControl("age")).Text;
SqlParameter parm3=new SqlParameter("@id",SqlDbType.Int);
parm3.Value=this.DataGrid1.DataKeys[e.Item.ItemIndex];
comm.Parameters.Add(parm1);
comm.Parameters.Add(parm2);
comm.Parameters.Add(parm3);
conn.Open();
comm.ExecuteNonQuery();
conn.Close();
這樣的代碼看起來舒服而且又安全,何樂不爲?