2

这是我 8 月份帖子的后续内容:在回发时询问 AD 凭据/“连接中断”

该问题再次弹出新记录,我确定有问题的文本是“...... Sharepoint 站点 [分号] 更新团队日程......”。注意到“[分号]更新团队”了吗?这是完全有效的,而不是 SQL 注入。把它改成逗号,就提交没问题了。将“更新”更改为另一个 SQL 关键字,系统会提示用户输入他们的凭据(总是被拒绝),然后显示 IIS 401.1 页面。

是的,您需要用字符替换 [分号],因为 SO 不会让我发帖。

在 中@Page,我有ValidateRequest="false"(是的,来自文本框的内容HttpUtility.HtmlEncode作为参数化输入传递给存储过程)

有任何想法吗?

4

1 回答 1

1

这听起来像是一个负载均衡器或类似的东西,它看到;update并怀疑 SQL 注入。在您和 Web 服务器之间寻找有问题的硬件。

要确认,请尝试将会话中的违规文本直接发布到 Web 服务器本身。我猜你这样做不会有问题。

于 2010-01-18T22:17:42.843 回答