我开发了一个网站(在 asp.net 中),它有一个注册页面(不是注册,但它接收人员详细信息),这实际上是一个教育组织的网站,注册表单是为想要注册的人准备的该组织举办的研讨会。
现在说到重点,我正在检查数据库的注册表(数据库在 MS Access 中),发现多行数据如下:
//In Residential Address field
[url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct student loans [url=http://paydayloansonline25.com]get loan online payday[/url] cash fast without bank account http://paydayloansonline25.com small business loans fast cash
//In Field to store workshop id, for which the person want to register for, the data was
document.getElementById(varIDCtrlName).value;
我确信这可能是 SQL 注入攻击,但不确定黑客会尝试做什么,如果他成功了 - 那么他会收集什么。还请提一下,我该如何处理。
了解更多信息:
我没有添加类似的参数
EnableEventValidation="false" ValidateRequest="false"
在 aspx 页面的 page 指令中,我猜是true
默认的,虽然它是true
,但有助于这种类型的可能攻击。还有一点值得一提的是, myOleDbCommand
的参数写成
cmd.Parameters.AddWithValue("@ResiAddress", strResiAddress);