asp.net里SqlDataAdapter存在Sql注入漏洞
SqlDataAdapter:
用于填充 DataSet 和更新 SQL 数据库的“一组”数据命令和“一个”数据库连接。
SqlDataAdapter不但可以操作多个SQL命令,而且还可以操作一个SQL命令
SqlCommand:
对 SQL 数据库执行的“一个”SQL 语句或存储过程。
SqlCommand只能操作一个SQL命令
问题就出来在SqlDataAdapter可以调用多个SQL命令里。这样如果你给SqlDataAdapter参数的sql语句不做处理的话。别人就可以很方便的使用Sql来注入。
下面看下具体的实例:
asp.net 里test.cs文件的程序:
protected void Page_Load(object sender, EventArgs e)
{
if (Request.QueryString.Count == 1)
{
DbServer dbserver = new DbServer();
System.Data.DataSet ds = new DataSet();
string tablename = "table1";
string strsql = string.Empty;
strsql = " exec dtc_CompeteInfo " + Request.QueryString.Get(0);
dbserver.FillDataset(strsql, ds, tablename);
//下面省略处理
----
----
}
}
DbServer 类里的FillDataset函数为:
// 根据SQL查询并用记录集填充DataSet
public void FillDataset(string sql, DataSet ds, string tablename)
{
SqlConnection conn = new SqlConnection(CONNECTIONSTR);
SqlDataAdapter da = new SqlDataAdapter(sql, conn);
da.Fill(ds, tablename);
da.Dispose();
conn.Close();
conn.Dispose();
da = null;
conn = null;
}
上面的程序,如果正常的执行http://www.xxx.com/test.aspx?id=100 。
程序最后执行:SqlDataAdapter da = new SqlDataAdapter('exec dtc_CompeteInfo 100', conn);
dtc_CompeteInfo为一个存储过程,100为给这个存储过程的传递的参数值。程序正常执行。