-3

经过研发,我没有得到解决这个缺陷的办法。请指导我解决这个缺陷

说明
此数据库查询包含 SQL 注入缺陷。函数调用使用从用户提供的输入派生的变量构造动态 SQL 查询。攻击者可以利用此漏洞对数据库执行任意 SQL 查询。

建议
避免动态构建 SQL 查询。相反,使用参数化准备好的语句来防止数据库将绑定变量的内容解释为查询的一部分。始终验证用户提供的输入以确保其符合预期格式,并尽可能使用集中的数据验证例程。

public void EditUser(User f)
{
    string connectionString 
        = ConfigurationSettings.AppSettings["ConnectionString"];

    SqlConnection conn = new SqlConnection(connectionString);

    SqlCommand cmd = conn.CreateCommand();
    string adm = (f.IsAdmin?"1":"0");
    string phone="",email="";

    if(f.PhoneList.Count > 0)
       phone = f.PhoneList[0].ToString();

    if(f.EmailList.Count > 0)
       email = f.EmailList[0].ToString();

    for(int i = 1; i < f.PhoneList.Count; i++)
       phone = phone + ";" + f.PhoneList[i].ToString();

    for(int i = 1; i < f.EmailList.Count; i++) 
       email = email + ";" + f.EmailList[i].ToString();

    cmd.CommandText = "UPDATE Users SET  is_admin="+adm+",login='"+f.Login+"',passwd='"+f.Password+
             "',firstname='"+f.FirstName+"',lastname='"+f.LastName+"',email='"+email+"',phone='"+phone+"',address='"+f.Address+"' where user_id="+f.UserId;

    conn.Open();
    int affected = cmd.ExecuteNonQuery();
    cmd.ExecuteNonQuery();
}
4

1 回答 1

5

您的代码通过将字符串附加在一起来构建 SQL 命令

    cmd.CommandText 
        = "UPDATE Users SET  is_admin="+adm+",login='"+f.Login+"',passwd='"+f.Password+
         "',firstname='"+f.FirstName+"',lastname='"+f.LastName+"',email='"+email+"',phone='"+phone+"',address='"+f.Address+"' where user_id="+f.UserId;

假设有人使用等于的User值调用您的函数lastname

"Presser';DROP TABLE Users --"

您的 SQL 命令现在将销毁用户表。

请参阅此处,其中 MSDN 描述了如何避免此问题。

于 2015-07-17T06:14:12.843 回答