asp.net HiddenField SQL injection

asp.net c# sql injection

sion 2019-06-06 11:34:10 ‧ 1689 瀏覽

分享至

專案程式被弱掃軟體掃出SQL injection
但是這段SQL並沒有拿去DB做搜尋，而是比對已取出的資料。
弱掃報告建議使用Parameters來解決，但重點是這段沒有拿去做SQL查詢啊!!
請問這該怎麼解決?
以下其中一行例子

<asp:HiddenField ID="hideRowIndex" Value='<%# Eval("RowIndex") %>' runat="server" />

DataRow rowtbType1Show = tbType1Show.Select(" RowIndex ='" + hideRowIndex.Value.Trim() + "' ")[0];

火車台北火車台北走走 iT邦新手 5 級 ‧ 2019-06-09 06:25:11 檢舉

哪一款弱掃阿!?

sion iT邦新手 4 級 ‧ 2019-06-11 10:22:31 檢舉

Micro Focus

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

hmjh56032212

iT邦新手 5 級 ‧ 2019-06-06 14:09:03

最佳解答

如你所說的，DataTable已經是取回來的資料。並沒有連DB，所以目前要解決的是不讓弱掃軟體警告

試試看這個方式能不能通過

DataRow rowtbType1Show tbType1Show.Select(string.Format("RowIndex ='{0}' ", hideRowIndex.Value.Trim()))[0];

參考說明
statckoverflow

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

sion iT邦新手 4 級 ‧ 2019-06-06 14:19:00 檢舉

原來是linq的問題嗎?我google到是說把HiddenField 全改成viewstate/session，我覺得應該有其他解，才來發問，我會試試

sion iT邦新手 4 級 ‧ 2019-06-06 14:21:15 檢舉

hmjh56032212 iT邦新手 5 級 ‧ 2019-06-06 14:58:09 檢舉

SQL injection 大部分的解決方式就是參數化查詢，具體要看你的例子

如果你的DropDownList的值會拋到DB連線做查詢的話，就要參數化

sion iT邦新手 4 級 ‧ 2019-06-06 15:14:39 檢舉

我剛看了應該是同一個問題所以收回了

登入發表回應

小魚

iT邦大師 1 級 ‧ 2019-06-06 13:25:12

linq語法為什麼又用字串呢?
用C#比對不就好了嗎?

回應 1
分享
檢舉

sion iT邦新手 4 級 ‧ 2019-06-06 13:37:47 檢舉

問題不是這個吧?

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22091 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙