Delphi考虑sql注入 QuotedStr

2022-11-19 15:54:09 浏览数 (3)

大家好,又见面了,我是你们的朋友全栈君。

之前只在BS架构的项目中考虑了Sql注入问题,却很少考虑到用了多年的Delphi项目也应该考虑Sql注入的问题,今天做了个实验,成功完成注入,把表里数据全部删除,以后再做Delphi项目还真的考虑这个问题。

总体讲,大体知道有两种方式可以避免Delphi中的Sql注入:1、用QuotedStr替代”’进行字符串拼接;2、采用传参数的方式与数据库交互,这种方式哪天再仔细体验一下。

以下为一个小测试,一个简单的插入语句,如果Edit1内容为 abc’) delete from tb1 insert into tb1(Id, Name) values(123, ‘xxxx 则运行后,tb1表中之前数据将全部清除,只剩下insert into tb1(Id, Name) values(123, ‘xxxx 添加的一条

[delphi] view plain copy

  1. procedure TForm1.Button1Click(Sender: TObject);
  2. var
  3. sqlStr: String;
  4. begin
  5. sqlStr := ‘insert into tb1(Id, Name) values(1, ‘” edit1.Text ”‘)’;
  6. self.ADOQuery1.SQL.Text := sqlStr;
  7. self.ADOQuery1.ExecSQL;
  8. ShowMessage(‘成功完成Sql注入’);
  9. end;

改成sqlStr := ‘insert into tb1(Id, Name) values(1, ‘ QuotedStr(edit1.Text) ‘)’;

则可避免。

QuotedStr参考如下语句:

adoquery1.sql.text:= ‘select 字符型编号 from YourTable where 字符型编号=’abc’ and 整型编号=123′; 等价于 adoquery1.sql.text:= ‘select ‘ AFieldName ’ from ‘ ATableName ’ where ‘ AFieldName ’=”’ AStr ”’ and 整型编号=’ AnIntStr; 也等价于 adoquery1.sql.text:= ‘select ‘ AFieldName ’ from ‘ ATableName ’ where ‘ AFieldName ’=’ QuotedStr(AStr) ’ and 整型编号=’ Inttostr(AnInt); 传到数据库服务器为: select 字符型编号 from YourTable where 字符型编号=’abc’ and 整型编号=123

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/180794.html原文链接:https://javaforall.cn

1 人点赞