如何防止asp.net网站中的SQL注入
如何防止asp.net网站中的SQL注入
提问于 2011-11-17 22:46:57
对于用户在文本框中输入的电子邮件,我正在进行客户端检查,以确定电子邮件是否有效
string emailexist = "SELECT COUNT(DISTINCT UserID) as count FROM tbl_user WHERE Email=@Email ";
<asp:RegularExpressionValidator ID="RegularExpressionValidator2" ValidationGroup="Login" ControlToValidate="txtUserName"
ValidationExpression="\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*" CssClass="Error"
runat="server" />这个正则表达式是否足够好,可以防止电子邮件的sql注入。
其他文本:
string groupExistQuery = "SELECT COUNT(DISTINCT GroupID) as count FROM tbl_group WHERE GroupName=@GroupName"; 我在服务器端做了一个查询,检查用户输入的组名是否已经在数据库中可用,这里很有可能执行sql注入。我该如何预防呢?
Stack Overflow用户
回答已采纳
发布于 2011-11-17 22:49:17
正则表达式是与SQL注入无关的(黑名单等从来都不是最强的方法);然而,参数@Email的使用意味着(假设它仍然是参数化的)而不是易受SQL注入的影响。
SQL注入与输入的不适当连接有关;对抗它的主要工具是参数,这里已经发生了这种情况。
例如,如果您这样做:
var sql = "SELECT ...snip... WHERE Email='" + email + "'"; // BAD!!!!!然后说很容易受到SQL注入的影响。通过使用参数,该值不会被视为查询的一部分,因此攻击者没有at攻击向量。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/8169054
复制相关文章
相似问题
腾讯云开发者
