0

私はasp.net開発に不慣れです

ユーザー名とパスワードを使用してログインフォームを作成します

私は自分の仕事を終えましたが、どのように私のloginテーブルに一種のスクリプトを注入したか

ユーザー名

"> </title><script src="http://it

パスワード

"> </title><script src="http://it

簡単なクエリを次のように記述しました

SELECT * FROM user WHERE userid = 'admin' AND password = 'ms2012'

誰かがユーザー名とパスワードのテキストボックスに挿入したと思いました

しかし、私は彼らがどのようにしたのか理解できません。どのように更新したか、またそれを回避するにはどうすればよいか、誰か説明できますか?

4

1 に答える 1

2

アプリケーションを SQL インジェクションから保護するには、考慮すべき基本的な事項が 3 つあります。

  1. パラメータ化されたクエリ
  2. ストアド プロシージャ
  3. すべての入力データのサニタイズ
于 2012-11-22T09:30:22.700 に答える