分类: 安全防护

不要被String.Format欺骗

[ 2008-05-02 12:28:57 | 作者: neeao ] 收藏到[365Key] [del.icio.us]
ps:其实java中也有这个鸟东西,上次审核代码的时候就发现了,需要注意以下的东东了。
跟那个预编译可不是一回事。
引用至 luoluo
众所周知,.net使用参数的方式可以避免注入的问题,但是审核代码时注意不要被String.Format格式化字符串的代码欺骗:
String sql = String.Format("select * from [users] where username='{0}'", Request.QueryString["username"]);

这个代码等价于:
String sql = "select * from [users] where username='" + Request.QueryString["username"] + "'";

评论Feed 评论Feed: http://www.neeao.com/blog/feed.asp?q=comment&id=5096

这篇日志没有评论.

发表
表情图标
[smile] [confused] [cool] [cry]
[eek] [angry] [wink] [sweat]
[lol] [stun] [razz] [redface]
[rolleyes] [sad] [yes] [no]
[heart] [star] [music] [idea]
UBB代码
转换链接
表情图标
悄悄话
用户名:   密码:   注册?