一个关于防止SQL注入式攻击的问题...
各位大虾:请教个问题,我用一个算法把地址栏传递的参数加密后能不能防止SQL的注入式攻击呢?比如我把一个参数21加密后转换成1D33099EC2D94AB4,然后在后台再解密后传递到SQL数据库中做数据操作,这个时候要是有注入式脚本的话,在调用后台解密的时候它的脚本是不会被原样调用到数据库操作的,在解密的时候就会出现异常了,这个办法是不是可以间接的防止在地址栏中进行SQL的注入式攻击呢?
森栏浏览 362回答 2
2回答
-
陪伴而非守候
恩,如果你的数据层还没有写,可以使用参数化的方式 SqlParameter,DbParameter 恩,如果你的数据访问曾已经完成了,可以考虑使用httpModule,进行统一的拦截,大致思路,就是每一个页面请求都判断外界传进的参数,是否合法。不合法就转到错误页面。其实现可以google一下 -
德玛西亚99
如果能把所有语句参数化,基本就可以防止注入了你这样也许是可以的,但是还不很保险感觉
随时随地看视频慕课网APP
.NET