سلام
امروز یه نفر توی سایتم حدود 50 بار ثبت نام کرده بود
عباراتی که برای نام کاربریش انتخاب کرده بود :
'&dir&'
!(()&&!|*|*|
?''?""
ایا این عبارات خطرناکه؟البته نتونسته لاگین کنه.چون بعد از ثبت نام نیاز به تایید مدیر داره؟
سلام
امروز یه نفر توی سایتم حدود 50 بار ثبت نام کرده بود
عباراتی که برای نام کاربریش انتخاب کرده بود :
'&dir&'
!(()&&!|*|*|
?''?""
ایا این عبارات خطرناکه؟البته نتونسته لاگین کنه.چون بعد از ثبت نام نیاز به تایید مدیر داره؟
بله
کد ثبتنامت بزار
.:.We speak a universal language that brings us together.:.
=======================================
انجمنهای برنامهنویسی مدرن ایران
آموزشهای سیپلاسپلاس و Qt و دیگر کتابخانهها
کانال یوتیوب من | کانال آپارات من
کانال تلگرامی من | گروه تلگرامی ++C
کد ثبت نامم یه کد insert معمولی با ef هستش.
فکر کنم اگه از sp استفاده کرده بودم هک میشدم.خدا را شکر ef چون به صورت پارامتریک کار میکنه این نوع injection ها روش عمل نمیکنه
اتفاقاً برعکس استفاده صحیح(!!!) از Stored Procedure ها یکی از راه های مقابله با SQL Injection هست.البته اگه صحیح استفاده نشه فرقی با Query ساده نمیکنه.اینجا توضیح داده.در واقع هر روشی که استفاده از Parameter رو پیاده سازی کنه راه کار مقابله با SQL Injection هست.
البته احتمال حمله SQL Injection خیلی کمه ،بیشتر از این طریق حملات XSS انجام میشه
آخرین ویرایش به وسیله ahmad156 : پنج شنبه 19 دی 1392 در 23:13 عصر
تعریف یک sqlcomand و گرفتن مقادیر از PARAMETR