data access block application 问题 ( 积分: 100 )

  • 主题发起人 主题发起人 wbing
  • 开始时间 开始时间
W

wbing

Unregistered / Unconfirmed
GUEST, unregistred user!
我在微软的讲座中听到:data access application block 可以有效第避免注入式攻击。请问高人,data access application block 用什么方法可以避免注入式攻击,我查看了源代码,好像没有发现这样的功能啊。
 
我在微软的讲座中听到:data access application block 可以有效第避免注入式攻击。请问高人,data access application block 用什么方法可以避免注入式攻击,我查看了源代码,好像没有发现这样的功能啊。
 
因为DAAB,使用查询参数来处理查询,可以避免用户用拼sql字符串的方式登录进系统。
比如:
select ID, Name form [User] where Name='{Name}' and Pwd='{Pwd}'
在获得了用户名和密码后,替换{Name}和{Pwd}。如果用户输入:
用户名:' or 'abc' <>
密码: or 'a'='a
最终执行的sql语句为:
select ID, Name form [User] where Name='' or 'abc' <>
' and Pwd='or 'a'='a'
这样,查询就有结果了。黑客就可以进入系统。
DAAB使用参数的方式处理,用户无法通过拼写字符串的方式进入系统。
 
多谢高人指点。是不是直接使用DAAB就可以防止注入式攻击了?
不用另外在写代码了吧。
 
您必须登录或注册才可回复。

Similar threads

S
[转]ClientDataSet加上TDataSetProvider的数据保存问题
回复
0
查看
3K
SUNSTONE的Delphi笔记
S
S
[转]ClientDataSet加上TDataSetProvider的数据保存问题
回复
0
查看
2K
SUNSTONE的Delphi笔记
S
S
[FMX]开年第一弹:修改 FMX.Controls 避免按住编辑框移动时弹出输入法的问题
回复
0
查看
849
swish
S
D
[原]OrangeUI-Delphi移动开发利器
回复
0
查看
2K
DelphiTeacher的专栏
D
D
[原]OrangeUI-Delphi移动开发利器
回复
0
查看
2K
DelphiTeacher的专栏
D
后退
顶部