Asp.net 这是SQL注入攻击吗_Asp.net_Oledb_Sql Injection

Asp.net 这是SQL注入攻击吗

asp.net

Asp.net 这是SQL注入攻击吗,asp.net,oledb,sql-injection,Asp.net,Oledb,Sql Injection,我开发了一个网站（在asp.net中），它有一个注册页面（不是注册，但它会接收人员详细信息），这实际上是一个教育组织的网站，注册表格是为希望注册参加该组织举办的研讨会的人员准备的现在说到这里，我正在检查数据库的注册表（数据库位于MS Access中），发现多行包含以下数据： //In Residential Address field [url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct s

我开发了一个网站（在asp.net中），它有一个注册页面（不是注册，但它会接收人员详细信息），这实际上是一个教育组织的网站，注册表格是为希望注册参加该组织举办的研讨会的人员准备的

现在说到这里，我正在检查数据库的注册表（数据库位于MS Access中），发现多行包含以下数据：

//In Residential Address field
[url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct student loans [url=http://paydayloansonline25.com]get loan online payday[/url] cash fast without bank account http://paydayloansonline25.com small business loans fast cash

//In Field to store workshop id, for which the person want to register for, the data was
document.getElementById(varIDCtrlName).value;

我确信这可能是SQL注入攻击，但不确定黑客会尝试做什么，如果他成功了，那么他会收集到什么。请同时提及，我如何处理它

有关更多信息：

我没有像这样添加参数

EnableEventValidation="false" ValidateRequest="false"

在aspx page的page指令中，我猜默认情况下是

true

，虽然它是

true

，但它有助于此类可能的攻击。另一件值得一提的事情是，我的

OleDbCommand

的参数编写如下

cmd.Parameters.AddWithValue("@ResiAddress", strResiAddress);

就是

跨站点脚本（XSS）是一种计算机安全性通常在Web应用程序中发现的漏洞。由于违反浏览器安全性，XSS使攻击者能够注入客户端脚本进入其他用户查看的网页

在您的情况下，攻击者希望您在网页上的某些位置显示这些字段，因为它们是HTML/Javascript，所以它们将以攻击者希望的方式显示在浏览器中

就是这样

在您的情况下，攻击者希望您在网页上的某些位置显示这些字段，因为它们是HTML/Javascript，所以它们将以攻击者希望的方式显示在浏览器中

这不是SQLi攻击-数据中没有SQL命令

但是

document.getElementById（varidtrlname）.value，它是有效的javascript代码，因此看起来像某种脚本攻击。该javascript是无辜的，但如果攻击者可以在稍后作为脚本运行的字段中输入数据，则会造成严重的安全威胁。
这不是SQLi攻击-数据中没有SQL命令
但是document.getElementById（varidtrlname）.value，它是有效的javascript代码，因此看起来像某种脚本攻击。该javascript是无辜的，但如果攻击者可以在稍后作为脚本运行的字段中输入数据，这将是一个严重的安全威胁。
SQL注入是指用户在（表单）字段中添加SQL代码，以获取/操作数据库中不打算接收/编辑的其他数据。这看起来像是一个“简单”的垃圾邮件条目，但是在显示此项时，您应该确保不要解析和执行javascript。SQL注入是指用户在（表单）字段中添加SQL代码，以获取/操作数据库中不打算接收/编辑的其他数据。这看起来像是一个“简单”的垃圾邮件条目，但是在显示此项目时，您应该确保不要解析和执行javascript。尽管如果数据被正确使用/转义（即“HTML编码”），那么这将受到阻碍。@pst:在HTML编码后，数据不会显示为页面的一部分吗？i、 html编码将如何删除“发薪日贷款”的事情。我同意链接将被转义。@shahkalpesh看到广告可能是最愉快的用户体验，但只要脚本或其他XSS向量不能被触发，那么它仍然是“安全的”。当然，如果注入的标记可以用作社会工程（如网络钓鱼）载体。。那么这可能会被反驳为不安全。大概有一个标记处理器将[stuff]
转换为有效且“安全”的HTML输出。处理垃圾邮件是另一个问题。好吧，在我的例子中，数据在HTMLEncoded或Decoded的地方是不存在的，任何一种像@pst这样的标记处理都不存在。但是，你能解释一下攻击者试图用XSS做什么吗，因为在本例中，除了管理员本人之外，其他任何人都无法访问数据，但我仍然需要知道，以避免将来发生同样的事情。@Cyberpks，攻击者可能认为字段中输入的信息将显示在您网站的某个位置。如果此表中的此信息未显示在您的网站上的任何位置，则不会使用此脚本/html。尽管如果数据使用/转义得当（即“html编码”），则这将受到阻碍。@pst:在html编码后，数据不会显示为页面的一部分吗？i、 html编码将如何删除“发薪日贷款”的事情。我同意链接将被转义。@shahkalpesh看到广告可能是最愉快的用户体验，但只要脚本或其他XSS向量不能被触发，那么它仍然是“安全的”。当然，如果注入的标记可以用作社会工程（如网络钓鱼）载体。。那么这可能会被反驳为不安全。大概有一个标记处理器将[stuff]
转换为有效且“安全”的HTML输出。处理垃圾邮件是另一个问题。好吧，在我的例子中，数据在HTMLEncoded或Decoded的地方是不存在的，任何一种像@pst这样的标记处理都不存在。但是，你能解释一下攻击者试图用XSS做什么吗，因为在本例中，除了管理员本人之外，其他任何人都无法访问数据，但我仍然需要知道，以避免将来发生同样的事情。@Cyberpks，攻击者可能认为字段中输入的信息将显示在您网站的某个位置。如果此表中的信息未显示在网站上的任何位置，则不会使用此脚本/html。