之前只在BS架构的项目中考虑了Sql注入问题,却很少考虑到用了多年的Delphi项目也应该考虑Sql注入的问题,今天做了个实验,成功完成注入,把表里数据全部删除,以后再做Delphi项目还真的考虑这个问题。
总体讲,大体知道有两种方式可以避免Delphi中的Sql注入:1、用QuotedStr替代”’进行字符串拼接;2、采用传参数的方式与数据库交互,这种方式哪天再仔细体验一下。
[delphi]
view plain
copy
procedure TForm1.Button1Click(Sender: TObject);
var
sqlStr: String;
begin
sqlStr := ‘insert into tb1(Id, Name) values(1, ‘” + edit1.Text + ”‘)’;
self.ADOQuery1.SQL.Text := sqlStr;
self.ADOQuery1.ExecSQL;
ShowMessage(‘成功完成Sql注入’);
end;
改成sqlStr := ‘insert into tb1(Id, Name) values(1, ‘ + QuotedStr(edit1.Text) + ‘)’;
则可避免。
QuotedStr参考如下语句:
adoquery1.sql.text:=
‘select 字符型编号 from YourTable where 字符型编号=’abc’ and 整型编号=123′;
等价于
adoquery1.sql.text:=
‘select ‘+AFieldName+’ from ‘+ATableName+’ where ‘+AFieldName
+’=”’+AStr+”’ and 整型编号=’+AnIntStr;
也等价于
adoquery1.sql.text:=
‘select ‘+AFieldName+’ from ‘+ATableName+’ where ‘+AFieldName
+’=’+QuotedStr(AStr)+’ and 整型编号=’+Inttostr(AnInt);
传到数据库服务器为:
select 字符型编号 from YourTable where 字符型编号=’abc’ and 整型编号=123
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/hz/126923.html