آیا این عبارات injection و یا نوعی حمله هست؟

سلام
امروز یه نفر توی سایتم حدود 50 بار ثبت نام کرده بود
عباراتی که برای نام کاربریش انتخاب کرده بود :

'&dir&'

!(()&&!|*|*|

?''?""

ایا این عبارات خطرناکه؟البته نتونسته لاگین کنه.چون بعد از ثبت نام نیاز به تایید مدیر داره؟

بله
کد ثبتنامت بزار

نقل قول:

---

نوشته شده توسط moferferi

سلام
امروز یه نفر توی سایتم حدود 50 بار ثبت نام کرده بود
عباراتی که برای نام کاربریش انتخاب کرده بود :

'&dir&'

!(()&&!|*|*|

?''?""

ایا این عبارات خطرناکه؟البته نتونسته لاگین کنه.چون بعد از ثبت نام نیاز به تایید مدیر داره؟

---

از Captcha code استفاده کنید و همچنین میتونید با مشخص کردن قوانین و کاراکتر های مجاز جلوی این کار رو تا حد قابل چشمگیری بگیرید.

کد ثبت نامم یه کد insert معمولی با ef هستش.
فکر کنم اگه از sp استفاده کرده بودم هک میشدم.خدا را شکر ef چون به صورت پارامتریک کار میکنه این نوع injection ها روش عمل نمیکنه

نقل قول:

---

نوشته شده توسط moferferi

فکر کنم اگه از sp استفاده کرده بودم هک میشدم

---

اتفاقاً برعکس استفاده صحیح(!!!) از Stored Procedure ها یکی از راه های مقابله با SQL Injection هست.البته اگه صحیح استفاده نشه فرقی با Query ساده نمیکنه.اینجا توضیح داده.در واقع هر روشی که استفاده از Parameter رو پیاده سازی کنه راه کار مقابله با SQL Injection هست.
البته احتمال حمله SQL Injection خیلی کمه ،بیشتر از این طریق حملات XSS انجام میشه

تعریف یک sqlcomand و گرفتن مقادیر از PARAMETR