大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE稳定放心使用
之前只在BS架构的项目中考虑了Sql注入问题,却很少考虑到用了多年的Delphi项目也应该考虑Sql注入的问题,今天做了个实验,成功完成注入,把表里数据全部删除,以后再做Delphi项目还真的考虑这个问题。
总体讲,大体知道有两种方式可以避免Delphi中的Sql注入:1、用QuotedStr替代”’进行字符串拼接;2、采用传参数的方式与数据库交互,这种方式哪天再仔细体验一下。
以下为一个小测试,一个简单的插入语句,如果Edit1内容为
abc’) delete from tb1 insert into tb1(Id, Name) values(123, ‘xxxx
则运行后,tb1表中之前数据将全部清除,只剩下insert into tb1(Id, Name) values(123, ‘xxxx
添加的一条
- procedure TForm1.Button1Click(Sender: TObject);
- var
- sqlStr: String;
- begin
- sqlStr := ‘insert into tb1(Id, Name) values(1, ‘” + edit1.Text + ”‘)’;
- self.ADOQuery1.SQL.Text := sqlStr;
- self.ADOQuery1.ExecSQL;
- ShowMessage(‘成功完成Sql注入’);
- end;
改成sqlStr := ‘insert into tb1(Id, Name) values(1, ‘ + QuotedStr(edit1.Text) + ‘)’;
则可避免。
QuotedStr参考如下语句:
adoquery1.sql.text:=
‘select 字符型编号 from YourTable where 字符型编号=’abc’ and 整型编号=123′;
等价于
adoquery1.sql.text:=
‘select ‘+AFieldName+’ from ‘+ATableName+’ where ‘+AFieldName
+’=”’+AStr+”’ and 整型编号=’+AnIntStr;
也等价于
adoquery1.sql.text:=
‘select ‘+AFieldName+’ from ‘+ATableName+’ where ‘+AFieldName
+’=’+QuotedStr(AStr)+’ and 整型编号=’+Inttostr(AnInt);
传到数据库服务器为:
select 字符型编号 from YourTable where 字符型编号=’abc’ and 整型编号=123
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/180794.html原文链接:https://javaforall.net
