我的表中注入的用户名和密码

时间:2012-10-08 05:11:16

标签: sql sql-server-2005 sql-injection code-injection

我是asp.net开发的新手

我使用用户名和密码开发登录表单

我完成了我的工作但是我的login表如何注入了一些脚本

用户名

"> </title><script src="http://it

密码

"> </title><script src="http://it

我写了简单的查询

SELECT * FROM user WHERE userid = 'admin' AND password = 'ms2012'

我认为某个机构已经注入了用户名和密码文本框

但我不明白他们是怎么做的。任何人都可以解释他们如何更新我该怎么做以避免它?

1 个答案:

答案 0 :(得分:2)

如果您希望从SQL注入保护应用程序,则需要考虑3个基本事项:

  1. Paramterized Queries
  2. 存储过程
  3. 清理所有输入数据