SQL Injection – ارسال مقدار متغیر به SQL

ارسال مقدار متغیر به رشته sql

در بخش های قبلی کار با select,insert,update,delete آشنا شدیم ولی مشکلی که بود ما مقدار ثابت را در این دستورها بکار می بردیم . حالا اگر بخواهیم در پروژه هایمان مقادیر دلخواه کاربر را به دستورات sql اضافه کنیم باید چیکار کنیم . پس با آموزش های زیر همراه باشید :

کوئری براساس نام وارد شده کاربر :

لاگین براساس ورودی های نام کاربری و رمز عبور :

خیلی از دوستان به این شیوه کوئری های خودشان را می سازند ولی باید بگم که با اینکار دست هکر را باز می کنند تا کد و رشته دلخواه خود را جایگزین رشته sql کند.در مثال اول اگر کاربر این رشته را وارد نماید (hossein or 1=1) شرط به هر صورت اجرا می گردد.در اصل بجای استفاده از رشته پویا از پارامترها استفاده کنید (رشته دستور ثابت باشد) و در قسمت دیگری از برنامه این پارامترها را مقداردهی نمایید. با مثال زیر نحوه کار با پارامترها توضیح داده شده است.

ارسال پارامتر به دستور sql :

ابتدا مانند خط بالا پارامترها را در رشته دستور SQL وارد کرده و بعد آن پارامترها را مقداردهی می کنیم.

 

 

این مطلب را با دوستان خود به اشتراک بگذارید :
آموزش SQL Server آموزش برنامه نویسی

درباره حسین رسولی

از سال 89 در زمینه طراحی اپلیکیشن های ویندوز ، موبایل و همچنین طراحی سایت فعالیت دارم و در حال حاضر مدیریت سایت جهان سورس را برعهده دارم و سعی می کنم روزانه آموزش ها و پروژه های برنامه نویسی را با شما به اشتراک بگذارم.

دیدگاه خود را بیان کنید

از ما حمایت کنید