ASP.NET程序防范SQL注入式攻擊的方法

)W.D"U!F6u] V(WD 軟件測試技術網9g|2s,_knD

　第二：刪除用戶輸入內容中的所有連字符，防止攻擊者構造出類如“SELECT * from Users WHERE login = ’mas’ —— AND password =’’”之類的查詢，因為這類查詢的后半部分已經被注釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪問權限。

　　第三：對于用來執行查詢的數據庫帳戶，限制其權限。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由于隔離了不同帳戶可執行的操作，因而也就防止了原本用于執行SELECT命令的地方卻被用于執行INSERT、UPDATE或DELETE命令。

O%ZJ)Z9n　�、� 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得數據庫權限可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。