2
http://i48.tinypic.com/2dhei4j.png未檢查數據類型的安全問題
它不檢查密碼類型。密碼可以被定義爲4位無符號整數,如果用戶試圖將他/她的密碼更改爲4位無符號整數,那麼它可能會導致錯誤,是否正確?
如果是這樣,什麼樣的錯誤? 只是一個簡單的錯誤消息,或者這可能是一個重大的安全問題? 有人可以緩衝溢出攻擊嗎?
A
回答
1
有可能是這裏主要的安全問題!不僅僅是一個錯誤信息。閱讀更多關於SQL注入簡單的規則是,您應該始終對任何字符串用戶輸入進行清理,以確保是,正確的類型,但更重要的是,它不會繞過您的意圖並侵入您的數據庫。
一個簡單的Google搜索返回例如this site。
對於.NET,最好使用SqlParameter而不是連接字符串來組成您的SQL查詢。 SqlParameter守衛你對SQL注入......
using (SqlCommand cmd = new SqlCommand("UPDATE tblUser SET Password = @password WHERE [email protected]", conn))
{
cmd.Parameters.Add(new SqlParameter("password ", newPassword));
cmd.Parameters.Add(new SqlParameter("custID", custID));
...
+0
太棒了!謝謝!! – antz
1
考慮使用參數而不是字符串連接的,它可能會受到SQL注入攻擊
相關問題
- 1. 類型檢查問題
- 2. 泛型和類型安全:檢查參數的動態綁定
- 3. Experian安全問題信用檢查API
- 4. 不安全的鑄造問題,如何投入類型安全?
- 5. 的數據類型檢查
- 6. 在VB.NET中檢查數據類型的問題
- 7. 數據類型的問題
- 8. 數據類型的問題
- 9. 數據類型的問題
- 10. 數據類型的問題
- 11. 顯示數據時的安全問題
- 12. 安全問題的SQL Server數據庫
- 13. 未經檢查的不安全操作
- 14. Python類型檢查和繼承問題
- 15. 流量類型檢查問題
- 16. 類型檢查器遇到@specialized問題
- 17. Typescript數據類型問題
- 18. 元數據類型問題
- 19. 數據集類型問題
- 20. JAVASCRIPT數據類型問題
- 21. Java數據類型問題
- 22. 問題ULONG數據類型
- 23. 數據類型問題
- 24. 雙數據類型問題
- 25. oracle數據類型問題
- 26. 類型安全:未選中的對象
- 27. php標題內容類型的圖像/ JPEG安全問題
- 28. PHP&MySQL函數刪除數據庫問題中的未經檢查的類別
- 29. 檢查類問題
- 30. Android資產數據庫安全問題?
尼斯[SQL注入孔(http://bobby-tables.com)。享受你的服務器pwn3d。究竟是什麼緩衝區擔心溢出?你爲任何他們想要的東西都敞開了大門。 –
嗯讓我讀你給我的鏈接,看看你的意思是讓我的大門敞開。 – antz
newPassword ='1234',custID =「1」或1 = 1 - 「,你去了,我只是拉了[Bobby tables](http://xkcd.com/327/) – Ibu