0
我已經學會了如何在我的數據庫中插入數據時參數化我的文本框,現在我想在爲SQL數據庫手動放置連接字符串的同時實現相同的技術。我的代碼是這樣的:如何參數化用戶在C#中輸入連接字符串的方式?
connectionString = "server=localhost;uid=" + usr.Text + ";pwd=" + pwd.Text;
而且我認爲它很容易被SQL注入。有什麼建議麼?
A
回答
3
由於在這種情況下沒有使用SQL,因此它不容易受到SQL注入的攻擊。您不能通過在連接字符串中指定任何內容來訪問表和記錄,也不能僅通過指定連接字符串來接收數據。
它是容易連接字符串屬性注入,因爲尼古拉在他的答案中提到。另見問題「MS Access - prevent SQL injection in connection string」。
0
正如Mark所說,這裏沒有SQL注入漏洞。但僅僅爲了可讀性,我願意與:
connectionString = string.Format("server=localhost;uid={0};pwd={1}", usr.Text, pwd.Text);
但它不安全,行爲相同。
2
根據您使用的提供程序,您可以使用.NET框架中提供的一個連接字符串構建器類。
http://msdn.microsoft.com/en-us/library/ms254947%28v=VS.100%29.aspx
有任何連接字符串注入攻擊沒有明確的答案。我無法看到通過更改連接屬性來執行攻擊的方法。但是,微軟在我上面發佈的鏈接中提到了這種攻擊,但沒有詳細說明這種攻擊會發生什麼。充其量(或最差)的攻擊者可能會改變連接的某些屬性,可能會增加超時並希望以這種方式對服務器進行DDoS攻擊。
相關問題
- 1. 如何鏈接用戶輸入參數與字符串?
- 2. 在C#中使用字符串連接的字符串連接
- 3. 在參數輸入後從C#中的外部類獲取連接字符串
- 4. SSIS參數化連接字符串
- 5. 如何將參數連接到C中的字符串?
- 6. 如何計算用戶在C#中輸入的字符串?
- 7. 如何連接字符串在C#中
- 8. 從字符輸入連接字符串
- 9. 如何在C#中連接字符串時插入分隔符?
- 10. 如何連接C中的字符串?
- 11. 字符串和用戶輸入的C++
- 12. 格式化輸入字符串數組
- 13. C#使用appSettings參數在app.config中編寫連接字符串
- 14. 如何在C++中連接字符串+ int +字符串?
- 15. 如何連接數字和字符串以格式化T-SQL中的數字?
- 16. 如何在Vim中格式化字符串連接(「abc」+「def」)?
- 17. 將參數中用戶輸入的字符串拆分
- 18. vb.net用戶輸入的ole db連接字符串
- 19. SQLAlchemy - 任何方式來反映數據庫模式與用戶輸入連接字符串?
- 20. 在C++中使用用戶輸入進行字符串串聯
- 21. C#在字符串數組中存儲用戶輸入
- 22. 連接字符串輸入的()
- 23. 如何將字符串輸入到C++中的字符數組?
- 24. 格式化連接字符串的jQuery
- 25. 格式化連接的python字符串
- 26. C#如何在類中嵌入連接字符串?
- 27. 在C++中使用「+」連接字符串
- 28. 以用戶名格式化輸入的時間字符串
- 29. haskell方式接受用戶輸入的用戶輸入次數?
- 30. 在參數(PHP)連接字符串
但是,我的程序發生了一些奇怪的事情。如果我在兩個文本框中都放置了一些默認的SQL注入代碼('OR'1),應用程序會一直運行,當它顯示錯誤消息說登錄失敗。我正在使用控制SQLException n.1045的try-catch子句,但不會引發異常。 – ZShock