那些遇到过的问题

小编Dib*_*ran的帖子

SQL注入单引号漏洞

你好,我正在测试我正在研究的网站.一些开发人员试图通过用双引号替换每个引号来避免SQL注入.这是C#代码:

string sql = 
  @"SELECT *
      FROM users
     WHERE us_username = '$us'
       AND us_password = '$pw'";    

sql.Replace("$pw", txtPassword.Text.Replace("'","''"));
Run Code Online (Sandbox Code Playgroud)

有什么方法可以执行SQL注入攻击吗?我尝试了Unicode技巧,但它没有用.该数据库在SQL Server 2008R2上运行.

c# sql sql-server sql-injection code-injection

Dib*_*ran
2015 08-21
4
推荐指数
1
解决办法
1624
查看次数

标签 统计

c# ×1

code-injection ×1

sql ×1

sql-injection ×1

sql-server ×1