gpt4 book ai didi

sql-server - SQL server 中奇怪的表数据

转载 作者:行者123 更新时间:2023-12-01 04:59:55 26 4
gpt4 key购买 nike

我的数据库中有一个名为 notifications 的表,只要通知来自我的应用程序中的其他用户,数据就会插入到此表中。该表的架构如下所示:

CREATE TABLE [dbo].[notifications](
[id] [int] IDENTITY(1,1) NOT NULL,
[sender] [char](17) NULL,
[reciever] [char](17) NULL,
[letter_code] [char](15) NULL,
[txt] [nvarchar](max) NULL,
[dateandtime] [datetime2](7) NULL,
[letter_kind] [nvarchar](50) NULL,
[seen] [bit] NULL,
CONSTRAINT [PK_notifications] PRIMARY KEY CLUSTERED
(
[id] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]
插入的行必须是这样的:
id    || sender   ||    reciever || letter_code || txt     ||  dateandtime          || letter_kind ||   seen
============================================================================================================
1 || 2 || 2 || 1734 || message || 2015-10-12 09:59:01 || PS || flase
今天我正在检查我的数据库表,我注意到发生了一些奇怪的事情。 notification 中插入了一些奇怪的数据 table :
enter image description here
如您所见 txt列包含一个非常奇怪的值:
1<div style="display:none">looking to cheat <a href="http://blog.perecruit.com/template/page/reason-women-cheat.aspx">go</a> how many men have affairs</div>
其他列包含 1 !
任何的想法?
PS:我敢肯定这张表的数据只会写在一个地方:
context.InsTotNotification(WebContext.Current.User.UserCode, CheckedUsersForSend.ElementAt(j), LetCods.ElementAt(i),
string.Format("letter kind {0} letter code {1} datetime.",
LetterKind, Convert.ToString(Convert.ToDouble(LetCods.ElementAt(i).Substring(4, 11)), CultureInfo.InvariantCulture)), DateTime.Now, LetterKind);
更新 :没有允许用户输入数据的形式,数据将使用后端而不是用户写入。
更新 2 : 我使用的是 EntityFramework Database First 和 InsTotNotification是我上下文中的存储过程:
    [Invoke]
public string InsTotNotification(string sender, string reciever,string letter_code,string Txt,DateTime dateandtime,string Letter_kind)
{
var MQuery = ObjectContext.InsTo_Notification(sender, reciever, letter_code, Txt, dateandtime, Letter_kind).FirstOrDefault();
return "Ok";
}
这是sp:
SET ANSI_NULLS OFF
GO
SET QUOTED_IDENTIFIER OFF
GO

ALTER PROCEDURE [dbo].[InsTo_Notification]
@Sender char(17),
@Reciever char(17),
@Letter_code char(15),
@Txt nvarchar(MAX),
@DateandTime datetime2,
@Letter_kind nvarchar(50)
AS

BEGIN TRANSACTION InsertNotifications
Declare @T1 int
INSERT notifications (sender, reciever, letter_code, txt, dateandtime, letter_kind)
values (@Sender, @Reciever, @Letter_code, @Txt, @DateandTime,@Letter_kind)
SELECT @T1=@@ERROR
--------------------------
if (@T1=0)
BEGIN
COMMIT TRANSACTION InsertNotifications
SELECT @Letter_code as LetterNo
END
ELSE
BEGIN
ROLLBACK TRANSACTION InsertNotifications
SELECT 'NO' as 'It has Problem'
END
更新 3 :表中还有这些类型的行:
enter image description here
请注意,文本 نامه PS به شماره 11968 به شما ارجاع داده شد所选行中是 txt 的实际值 field 。

最佳答案

绝对是 SQL 注入(inject)...
这是来自 Web 应用程序还是可以通过 Web 获得的东西,对吗?
您的存储过程在没有适当验证的情况下接受任何 char 输入。
尝试检查参数是否包含“<”、“>”、保留的 SQL Server 术语/语句或其他不需要的字符。

关于sql-server - SQL server 中奇怪的表数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33911829/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com