0

asp.net を使用して Web サイトを作成しました。データベースで挿入、更新、削除機能を実行するためにado.netを使用しました(sqlserver 2005)。データベースがハッカーに攻撃されました。私のテーブルのすべてのレコードは、このようなデータによって注入されます

</title><style>.as9y{position:absolute;clip:rect(441px,auto,auto,441px);}</style><div class=as9y>secured <a href=http://5mincashadvance.com >payday loans</a></div>

どうすればこのスパムが挿入されるのを防ぐことができるか教えてください..

これは挿入関数の例です

myStatic.insertFields("Name, Phone, Mail, Title, Body", " U_Complaint", "'" + txtName.Text
            + "','" + txtPhone.Text + "','" + txtmail.Text + "','" + txtTitle.Text + "','" + txtBody.Text + "'");

したがって、このコードにはエラーがあります..そうでない場合は、何が問題なのか....

4

2 に答える 2

0

ckeditorを使用しているので、取得する値は、データベースに保存されているフォーマット付きのhtmlです。詳細については、 http://dev.ckeditor.com/ticket/7892を参照してください。

于 2013-01-16T09:27:55.597 に答える
0

SQLインジェクションを防ぐために、入力を検証する代わりに、SQLパラメータを使用せずにデータを挿入しないでください。

これがサンプルです

SqlCommand com=new SqlCommand("insert into table1 (columns1,columns2) values (@columns1,@columns2)",sqlCon);
com.Parameters.AddWithValue("@columns",value);
于 2013-01-16T09:28:09.420 に答える