在一些友好的堆栈溢出成员的帮助下,我重新编写了我的代码(特别感谢Martin B和Kev Chadders).我现在想检查一下这项工作后我的代码是否仍然对SQL注入开放.我相信代码现在可以正常工作,但是你看到的任何致盲错误我都会喜欢听到.我的代码现在看起来像:
-code removed-
Mark Byers.. 5
看来你对SQL注入攻击是安全的,但代码如下:
Response.Write(result);
和:
Response.Write(" --- Begin SQL Exception Message ---
")
Response.Write(ex)
Response.Write("
--- End SQL Exception Message ---")
可以让你开放其他形式的攻击,如XSS.您应该设置ASP.NET控件的text元素,而不是直接写入页面.
看来你对SQL注入攻击是安全的,但代码如下:
Response.Write(result);
和:
Response.Write(" --- Begin SQL Exception Message ---
")
Response.Write(ex)
Response.Write("
--- End SQL Exception Message ---")
可以让你开放其他形式的攻击,如XSS.您应该设置ASP.NET控件的text元素,而不是直接写入页面.
京公网安备 11010802040832号 | 京ICP备19059560号-6 