不要相信使用Parameter安全调用分页存贮过程会没有SQL注入

作者：ld无痕的心迹 | 来源：互联网 | 2023-05-21 10:47

不要相信使用Parameter安全调用分页存贮过程会没有SQL注入:如:CodehighlightingproducedbyActiproCodeHi

不要相信使用Parameter安全调用分页存贮过程会没有SQL注入:

如:

  
  
   
   
   
   　　　　DbParameter[] dbParams 
   
   =
   
    {
 Data.MakeInParam(
   
   "
   
   @PageIndex
   
   "
   
   , (DbType)SqlDbType.Int, 
   
   4
   
   , pageIndex),
 Data.MakeInParam(
   
   "
   
   @PageSize
   
   "
   
   , (DbType)SqlDbType.Int, 
   
   4
   
   , pageSize),
 Data.MakeInParam(
   
   "
   
   @Tables
   
   "
   
   , (DbType)SqlDbType.NVarChar, 
   
   1000
   
   , tableName),
 Data.MakeInParam(
   
   "
   
   @Fields
   
   "
   
   , (DbType)SqlDbType.NVarChar, 
   
   2000
   
   , fieldList),
 Data.MakeInParam(
   
   "
   
   @Where
   
   "
   
   , (DbType)SqlDbType.NVarChar, 
   
   2000
   
   , 
   
   where
   
   ),
 Data.MakeInParam(
   
   "
   
   @GroupBy
   
   "
   
   , (DbType)SqlDbType.NVarChar, 
   
   2000
   
   , groupBy),
 Data.MakeInParam(
   
   "
   
   @OrderBy
   
   "
   
   , (DbType)SqlDbType.NVarChar, 
   
   1000
   
   , orderBy),
 Data.MakeOutParam(
   
   "
   
   @ReturnCount
   
   "
   
   , (DbType)SqlDbType.Int, totalRecords),
 };
 list 
   
   =
   
    Data.GetDbDataReader(
   
   "
   
   getPagerROWOVER
   
   "
   
   , dbParams).ToList
   
   <
   
   TResult
   
   >
   
   ();

这种调用也存在SQL注入.

我想查询News表中Title存在"博客园"的文章:

PageIndex = 1

PageSize = 20

Tables = "News"

Fields = "*"

Where = "Title like '%博客园%'"

GroupBy = ""

OrderBy = "NewsID Desc"

这种写法是正确的。

当用户输入“''%' or 1=1;--” 一样存在SQL注入。

当拼接Where值的时候取到文本框的值一定也要过滤非法字符。

SQL会自动组合成：

select * from News where Title like '%博客园%' 正确

select * from News where Title like '''%''''''%''' or 1=1;--%'' 存在注入

完

推荐阅读

const
UNP总结 Chapter 12~14 IPv4与IPv6的互操作性、守护进程和inet超级服务器、高级I/O函数

一、IPv4与IPv6的互操作性1.IPv4客户与IPv6服务器拥有双重协议栈的主机的一个基本特性就是：其上运行的IPv6服务器既能应付IPv4客户，又能应付IPv6客户。这是通过使用IPv4映射 ... [详细]

蜡笔小新 2024-09-30 18:55:51
post
6个常见的 PHP 安全性攻击实例和阻止方法_php实例

这篇文章主要介绍了6个常见的PHP安全性攻击实例和阻止方法，有对这方面感兴趣的小伙伴 ... [详细]

蜡笔小新 2024-09-30 15:54:56
php
MyBatis模糊查询和多条件查询

MyBatis模糊查询和多条件查询一、ISmbmsUserDao层根据姓名模糊查询publicListgetUser();多条件查询publicList ... [详细]

蜡笔小新 2024-09-30 13:26:10
const
开发笔记:sql盲注之报错注入(附自动化脚本)

篇首语：本文由编程笔记#小编为大家整理，主要介绍了sql盲注之报错注入(附自动化脚本)相关的知识，希望对你有一定的参考价值。 ... [详细]

蜡笔小新 2024-09-30 12:32:17
text
/etc路径下有些什么？

etc杂七杂八的配置文件etc不是什么缩写，是andsoon(等等)的意思来源于法语的etcetera翻译成中文就是等等的意思.至于为什么在etc下面存放配置文件& ... [详细]

蜡笔小新 2024-09-30 20:08:11
const
C#开发技巧有哪些

这篇文章将为大家详细讲解有关C#开发技巧有哪些，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。C#开发技 ... [详细]

蜡笔小新 2024-09-30 17:56:32
include
【STM32】定时器TIM触发ADC采样，DMA搬运到内存（超详细讲解）

TIMADCDMA原理一般情况下，当我们需要进行采样的时候，需要用到ADC。例如：需要对某个信号进行定时采样（也就是隔一段 ... [详细]

蜡笔小新 2024-09-30 17:14:25
filter
nginx+tomcat session 共享

*tomcat1192.168.10.153*tomcat2192.168.10.154Tomcat工作模式必须为Nio模式。##添加如下内容，注意更换address ... [详细]

蜡笔小新 2024-09-30 14:52:41
filter
Java如何快速定位无效字符,mybatis的报错…ORA00911: 无效字符,该怎么解决

mybatis的报错……ORA-00911:无效字符xml里的配置resultTypejava.lang.Stringselectt.sfzhfromt_ldrktandt. ... [详细]

蜡笔小新 2024-09-30 14:45:30
post
在Oracle中执行动态SQL的几种方法,sql server 自定义函数的使用

在Oracle中执行动态SQL的几种方法在一般的sql操作中，sql语句基本上都是固定的，如：SELECTt.empno,t.ename FROMscott.emptWHEREt. ... [详细]

蜡笔小新 2024-09-30 13:57:51
char
windows下设置socket的connect超时

变相的实现connect的超时，我要讲的就是这个方法，原理上是这样的：1．建立socket2．将该socket ... [详细]

蜡笔小新 2024-09-30 10:51:53
main
在JAVA代码的不同部分多次使用数组列表

我正在使用数组列表通过构建一个交互式菜单供用户选择来存储来自用户输入的值。到目前为止，我的两个选择是为用户提供向列表输入数据和读取列表的全部内容。到目前为止，我创建的代码由两个类组成。 ... [详细]

蜡笔小新 2024-09-30 10:25:00
char
Mysql MySqlBulkLoader在.NET平台下的批量插入

批量导入publicboolTranBatchImpo ... [详细]

蜡笔小新 2024-09-30 10:20:25
main
填充字节[]到16字节倍数用于AES加密 - Pad byte[] to 16-byte multiple for AES Encryption

Icurrentlyhaveafunction[C#]whichtakesabyte[]andanalignmenttosetitto,butduringencr ... [详细]

蜡笔小新 2024-09-30 17:44:36
php
【自制小工具】代码生成器

【自制小工具】代码生成器陆陆续续接触过好几款代码生成工具，发现确实好用，但都会有那么点不完善的地方，所以索性就自己做一个吧。界面非常简单，反正是自己用的，简单点用起来也方便上图：左 ... [详细]

蜡笔小新 2024-09-29 20:01:18

ld无痕的心迹

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章