个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我遇到了一个相当奇怪的问题。
我们有一个 MySql 数据库在我们的 C#/Asp.Net 网络应用程序后面运行。
我们为每个查询使用参数以防止 SQL 注入(inject)攻击。
但是,我们最近从一个客户那里收到了奇怪的 SQL 错误。
经调查,我们发现客户一直在将包含“右单引号”(’) 字符的地址粘贴到我们网站的字段中。
令人惊讶的是,这似乎通过了我们代码的参数化部分,并被插入到查询中,因此我们的 MySQL 服务器将其解释为未转义的引号。
这意味着我们的客户在不知不觉中对我们的服务器执行了 SQL 注入(inject)攻击。
我有两个问题:
1) 这不是非常不安全吗?如果这对我们不利,是否还有其他公司可能会受到同样的安全漏洞的影响?
2) 我该如何解决这个问题?在参数化用户输入之前,是否有任何方法可以在不运行正则表达式或字符串替换的情况下清理此输入? (考虑到代码库的规模和我们拥有的编码人员的数量,这可能需要一个月的工作量)。
我们一直认为参数化可以防止集中的恶意攻击。不是这样吗?
规范:MySQLServer 5.6
MySql .Net 连接器 1.0.10.0
ASP.NET 4.5.1
感谢任何帮助或建议...
最佳答案
我认为问题在于 SQL Server 默认将命令视为 unicode,因此当您的 MySQL 数据库使用 ASCII 时,ASP.NET 不会费心清理 unicode 字符。
根据 this question ,应该可以通过使用以下命令更改您的表以允许正确的单引号:
ALTER TABLE [Table] COLLATE='utf8_unicode_ci';
来自 MySQL 文档 here ,看起来你可以在运行时为整个服务器设置字符集和排序规则模式。要测试它是否解决了您的问题,请尝试像这样启动 MySQL:
mysqld --character-set-server=utf8 --collation-server=utf8_unicode_ci
关于c# - 右单引号 (Unicode :(U+2019) Extended Ascii 146) causes SQL injection through MySqlParameter,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32891739/
25
4
0
我想知道最终用户按下了什么,所以我使用了 getch() 。 如果用户按右,我可以获得0xE0 0x4D。 如果用户按下Ctrl+右,我可以获得0xE0 0x47。 如果用户按下Shift+右,我可以
我已经构建了一个应用程序来搜索我的位置。 这是代码 var map; var gdir; var geocoder = null; var addressMarker; function init
我想为我的元素设计布局 View 。布局 View 在左 Angular 和右 Angular (同一行)有一个图像,将有 2 行单词,一行在第 1 行,另一行在第 2 行。我该如何实现? It
我有一个很长的线性(分支不多)流程图,在 graphviz 中显示为要么太高而无法放在单个页面上,要么太宽(如果方向是从左到右) 是否有一种简单的方法可以让 graphviz 以从左到右,然后向下,然
我一直摸不着头脑,但运气不好。设计器有一个包含 3 栏的站点、两个侧边栏和一个主要内容区域。 专为桌面设计,左栏、主要内容、右栏。但是,在较小的设备上,我们希望首先堆叠主要内容。 所以通常情况下,你可
我想要从上到下和从左到右组织的 css block 。 为了更好地解释这是一张图片,其中包含我到目前为止所获得的内容以及我希望使用 CSS 实现的内容: 代码如下: HTML: 1 2 3 4 5
当我问this question时,答案之一(现已删除)建议Either类型对应Curry-Howard correspondence中的XOR而不是OR,因为它不能同时是Left和Right。 真相
如果一行中六个观察值中至少有三个是 != NA,我想计算该行的平均值。如果存在四个或更多 NA,则平均值应显示为 NA。 给出平均值的例子,忽略了 NA: require(dplyr) a % mut
我有一个由 9 列组成的数据框,其中包含一个因素 list 。每行可以填充所有 9 列(因为在该行中包含 9 个“事物”),但大多数没有(大多数有 3-4 个)。列也不是特定的,就像第 1 列和第 3
这是我第一次尝试使用 R 构建函数。基本上我的预期目标如下。 使用 RoogleVision 包与 Google Cloud Vision API 通信 函数遍历目录中的图片 从每张图片的 Googl
使用: mean (x, trim=0.05) 从分布的每一侧移除 2.5%,这对于对称的双尾数据来说很好。但是如果我有一个尾部或高度不对称的数据,我希望能够只删除分布的一侧。有没有这个功能,还是我自
我想保留重复的列,并删除唯一的列。这些列将具有相同的值,但名称不同。 x1 = rnorm(1:10) x2 = rnorm(1:10) x3 = x1 x4 = rnorm(1:10) x5 = x
是否可以使WPF工具栏中的元素的Right水平对齐方式正确? 我尝试将内部元素添加到Grid中,并将ColumnDefinition分配给Left / Right。我
datatable(head(iris)) 如何将我的列居中,使其位于我的列名称的正下方? 最佳答案 您可以使用options 下的columnDefs 自变量。将 className 设置为 dt-
我是 R 的新手,但我正在尝试在 R 中制作滑动窗口。 使用循环我可以像这样,但这变得非常低效。 results=c(1:7) letters=c("A","B","C","D","E","F","G
假设我有这个 .txt 文件: here is line 1 here is line 2 here is line 3 here is line 4 我想将此字符串粘贴到第 3 行和第 4 行之间:
假设我有这个 .txt 文件: here is line 1 here is line 2 here is line 3 here is line 4 我想将此字符串粘贴到第 3 行和第 4 行之间:
我想知道我的环境中有什么类型的对象。 我可以像这样显示谁在那里: ls() 但是运行类似的东西 sapply(ls(), class) (显然)不会告诉我们我们拥有什么类型(类)的对象(函数、数字、因
我想创建一个带有水平标签的树状图,但让叶子根据它们的高度悬挂,而不是仅仅下降到图的边缘。 例子: par(mfrow = c(1,2)) hc <- hclust(dist(USArrests), "
我的 CSS 中有一个元素,如下所示 .xyz{ position:absolute; left:50%; } 现在正如预期的那样,当我减小浏览器窗口的宽度时,这个元素向左移动
我是一名优秀的程序员,十分优秀!