日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
解析ADO.NET連接字符串注入式攻擊

ADO.NET連接字符串還是比較常用的,于是我研究了一下ADO.NET連接字符串生成器,在這里拿出來(lái)和大家分享一下,希望對(duì)大家有用。在 ADO.NET 的早期版本中,不會(huì)對(duì)具有串聯(lián)字符串值的連接字符串進(jìn)行編譯時(shí)檢查,因此在運(yùn)行時(shí),不正確的關(guān)鍵字會(huì)產(chǎn)生 ArgumentException。每個(gè) .NET Framework 數(shù)據(jù)提供程序支持的連接字符串關(guān)鍵字的語(yǔ)法不同,這使得手動(dòng)構(gòu)造有效連接字符串變得很困難。為了解決這個(gè)問(wèn)題,ADO.NET 2.0 為每個(gè) .NET Framework 數(shù)據(jù)提供程序引入了新的連接字符串生成器。每個(gè)數(shù)據(jù)提供程序包括一個(gè)從 DbConnectionStringBuilder 繼承的強(qiáng)類型連接字符串生成器類。下表列出了 .NET Framework 數(shù)據(jù)提供程序及其關(guān)聯(lián)的ADO.NET連接字符串生成器類。

 
 
    
  
  
  1. ConnectionStringBuilder 類 
    2. 
  
  
  2. System.Data.SqlClient 
    3. 
  
  
  3. SqlConnectionStringBuilder 
    4. 
  
  
  4. System.Data.OleDb 
    5. 
  
  
  5. OleDbConnectionStringBuilder 
    6. 
  
  
  6. System.Data.Odbc 
    7. 
  
  
  7. OdbcConnectionStringBuilder 
    8. 
  
  
  8. System.Data.OracleClient 
    9. 
  
  
  9. OracleConnectionStringBuilder
    10.

連接字符串注入式攻擊

#T#當(dāng)使用動(dòng)態(tài)字符串串聯(lián)根據(jù)用戶輸入生成連接字符串時(shí),可能發(fā)生連接字符串注入式攻擊。如果未驗(yàn)證字符串并且未轉(zhuǎn)義惡意文本或字符,則攻擊者可能會(huì)訪問(wèn)服務(wù)器上的敏感數(shù)據(jù)或其他資源。例如,攻擊者可以通過(guò)提供分號(hào)并追加其他值來(lái)發(fā)起攻擊。連接字符串通過(guò)“l(fā)ast one wins”算法分析,惡意的輸入被替換為合法的值。連接字符串生成器類旨在排除推測(cè),防止出現(xiàn)語(yǔ)法錯(cuò)誤和安全漏洞。它們提供與每個(gè)數(shù)據(jù)提供程序允許的已知鍵/值對(duì)相對(duì)應(yīng)的方法和屬性。每個(gè)類都保持一個(gè)固定的同義詞集合,可以將同義詞轉(zhuǎn)換為相應(yīng)的已知鍵名。將執(zhí)行鍵/值對(duì)的有效性檢查,無(wú)效對(duì)會(huì)引發(fā)異常。此外,還會(huì)以一種安全方式處理插入的值。

下面的示例演示 SqlConnectionStringBuilder 如何處理為 Initial Catalog 設(shè)置插入的額外值。
Visual Basic

 
 
    
  
  
  1. Dim builder As New System.Data.SqlClient.SqlConnectionStringBuilder 
    2. 
  
  
  2. builder("Data Source") = "(local)" 
    3. 
  
  
  3. builder("Integrated Security") = True 
    4. 
  
  
  4. builder("Initial Catalog") = "AdventureWorks;NewValue=Bad" 
    5. 
  
  
  5. Console.WriteLine(builder.ConnectionString)
    6.

C#

 
 
    
  
  
  1. System.Data.SqlClient.SqlConnectionStringBuilder builder = 
    2. 
  
  
  2. new System.Data.SqlClient.SqlConnectionStringBuilder(); 
    3. 
  
  
  3. builder["Data Source"] = "(local)"; 
    4. 
  
  
  4. builder["integrated Security"] = true; 
    5. 
  
  
  5. builder["Initial Catalog"] = "AdventureWorks;NewValue=Bad"; 
    6. 
  
  
  6. Console.WriteLine(builder.ConnectionString);
    7.

輸出結(jié)果表明,通過(guò)用雙引號(hào)轉(zhuǎn)義該額外值而不作為新的鍵/值對(duì)將其追加到連接字符串,SqlConnectionStringBuilder 可以正確處理此額外值。

 
 
    
  
  
  1. data source=(local);Integrated Security=True; 
    2. 
  
  
  2. initial catalog="AdventureWorks;NewValue=Bad"
    3.

網(wǎng)站欄目:解析ADO.NET連接字符串注入式攻擊
新聞來(lái)源:http://www.5511xx.com/article/ccsgcdc.html