黑马程序员–学习日志之SQL注入漏洞攻击

———————- Windows Phone 7手机开发、.Net培训、期待与您交流！ ———————-

刚才看了下sql的注入漏洞，很多程序员都会忽略这一点，asp的网站上注入漏洞简直多的不能在多。
谷歌黑客一个关键词就是好多的注入漏洞。难道我们中国的程序员就都不了解吗？深受启发，
登录判断：select * from T_Users where UserName=… and Password=…，将参数拼到SQL语句中。
构造恶意的Password：’ or ’1′=’1
if (dataReader.Read())
{
MessageBox.Show(“登陆成功”);
}
else
{
MessageBox.Show(“登陆失败”);
}
防范注入漏洞攻击的方法：不使用SQL语句拼接，通过参数赋值
自己的练习代码
string UserName = txtuUserName.Text;
string Pwd = txtuPwd.Text;
string connStr = “Data Source=.\\sqlexpress;Initial Catalog=MySchool;Integrated Security=True”;
using (SqlConnection conn = new SqlConnection(connStr))
{
using (SqlCommand cmd = conn.CreateCommand())
{
//不要少了单引号
cmd.CommandText = “select * from [user] where uUserName = ‘” + UserName + “‘ and uPwd=’”+Pwd+”‘”;
conn.Open();
using (SqlDataReader dataReader = cmd.ExecuteReader())
{
if (dataReader.Read())
{
MessageBox.Show(“登陆成功”);
}
else
{
MessageBox.Show(“登陆失败”);
}
}
}
}
———————- Windows Phone 7手机开发、.Net培训、期待与您交流！ ———————-