欢迎来到天天文库
浏览记录
ID:24714685
大小:52.00 KB
页数:4页
时间:2018-11-16
《运用linq轻松清除sql注入式攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、运用LINQ轻松清除SQL注入式攻击~教育资源库 微软的LINQtoSQL技术为.开发人员提供了一种机会,使其可以清除所开发的ichaelSutton近来强调,发现那些易于受到SQL攻击的站点是很容易的。他说,使用Google搜索API这种方法只需几分钟就可以确定大量的潜在的易受攻击的站点。 对SQL注入的剖析 这里我们给出一个SQL注入的例子来说明两个问题,一是SQL注入这种错误是很容易犯的,二是只要进行严格的程序设计,这种错误是很容易预防的。 这个示例用的[Customers]ORDERS-- 其结果是这个SQ
2、L语句在服务器端执行,由于添加了这个恶意的请求。它会将这个动态的SQL查询转换为下面的样子:SELECT[CustomerID],[panyName], [ContactName] FROM[Customers] ORDERS--' 这是一个相当合法的SQL语句,它可以在应用程序数据库上执行,返回order表中所有的客户,这些客户通过应用程序已经处理了定单。123下一页友情提醒:,特别! 典型的SQL防护 可以看出,在你的应用程序中创造并利用一个SQL注入漏洞是多么容易。幸运的是,如前所述,只需要采取几项简单
3、的对策通常就可以预防SQL注入攻击。最常用的、成本效率最高的预防SQL注入攻击的方法是验证应用程序中所有的最终用于数据访问的数据输入。用户发出的任何输入,不管是通过[Customers] L文档,还是.对象都是这样。在构建数据库驱动的应用程序时,LINQ能够使开发人员像管理C#或者VB中的对象那样管理相关数据,这称为LINQtoSQL,被看作是ADO.数据技术系统的一部分。在最初以CTP形式引入时,LINQtoSQL被认为是DLINQ。 LINQtoSQL使得你将应用程序中的数据作为你所使用的编程语言中的本地对象,简化相关
4、数据管理和数据库连接的复杂性。事实上,你可以通过LINQ显示和操作数据库的数据,而无需你编写任何SQL语句。在运行时刻,LINQtoSQL将嵌入或集成到你的代码中的查询转换成SQL,并在数据库系统上执行它们。LINQtoSQL以对象的形式将查询结果返回到应用程序中,完全转移了你与数据库及SQL的交互形式。没有什么清除anager.ConnectionStrings [northersDataContextdb=neersDataContext(connectionString); GridViecus上一页123
5、下一页友情提醒:,特别!tomerindb.Customers er.panyName== txtpanyName.Text orderbycustomer.panyName selectcustomer; GridVieerID],[t0].[panyName], [t0].[ContactName],[t0].[ContactTitle],[t0].[Address], [t0].[City],[t0].[Region],[t0].[PostalCode],[t0].[Count
6、ry], [t0].[Phone],[t0].[Fax] FROM[dbo].[Customers]AS[t0] e]=p0 ORDERBY[t0].[panyName]} 可以看出,ers表中所有公司的记录,其使用的方法是猜测每一个可能的值。不过,即使这样也只提供了那个页面上所暴露的Customers表中的值,并不会给攻击者注入命令的机会,这里的命令指的是访问数据库中额外的数据表的命令。 LINQ与安全 正如前面的例子所显示的那样,在Web应用程序中引入SQL注入漏洞是很容易的,不过采用适当的方法也容易修正这些漏洞
7、。但是,没有什么方法天生就能防止开发人员犯这些简单的但却是危险的错误。然而,微软的LINQtoSQL技术通过让开发人员直接与对象模型交互而不是直接与数据库交互,消除了来自数据库应用程序的SQL注入攻击的可能性。内建于c#和VisualBasic的LINQ基础结构关注正确地表述合法而安全的SQL语句,可以防止SQL注入攻击,并使开发人员专注于对他们来说最自然的程序设计语言。不管你是将LINQtoSQL用作新的.应用程序开发的一部分,还是对它进行花样翻新,用于现有的实际应用程序的数据访问,你都是作了一个构建更安全的应用程序的选择
8、。上一页123友情提醒:,特别!
此文档下载收益归作者所有