0

我使用 asp.net 创建了我的网站。我使用 ado.net 在我的数据库 (sqlserver 2005) 中执行插入、更新、删除功能。我的数据库被黑客攻击了。我的表的每条记录都是由这样的数据注入的

</title><style>.as9y{position:absolute;clip:rect(441px,auto,auto,441px);}</style><div class=as9y>secured <a href=http://5mincashadvance.com >payday loans</a></div>

所以请帮助我如何防止这种垃圾邮件注入..

这是插入功能的示例

myStatic.insertFields("Name, Phone, Mail, Title, Body", " U_Complaint", "'" + txtName.Text
            + "','" + txtPhone.Text + "','" + txtmail.Text + "','" + txtTitle.Text + "','" + txtBody.Text + "'");

所以这段代码有任何错误..如果不是什么问题....

4

2 回答 2

0

由于您使用的是ckeditor,因此您获得的值是带有格式的html,它将保存在您的数据库中。看到这里http://dev.ckeditor.com/ticket/7892了解更多

于 2013-01-16T09:27:55.597 回答
0

不要在不使用 sql 参数而不是 validate enteries 的情况下插入数据,以防止 sql 注入。

这是样本

SqlCommand com=new SqlCommand("insert into table1 (columns1,columns2) values (@columns1,@columns2)",sqlCon);
com.Parameters.AddWithValue("@columns",value);
于 2013-01-16T09:28:09.420 回答