回绝软件开辟中的不法登录[网络技术]

作者:L4nk0r
时间:2010-1-31

玩过web的SQL注入的朋友知道,假如在履行SQL语句之前没有举行对带入参数的检测,那么便可以通过他们履行很多不法越权的操作.
一样的,在软件开辟中一样有这个问题,这个问题在系统的登录表现最为明显,当然其他的地方也有存在但是原理都一样,我们可以举一反三.
针对MFC中的开辟,我们可以通过以下代码来避免这种BUG:

  // 查抄不法登录,过滤单引号注入
           // 这里为什么要+1呢?主如果当单引号在第一个位置,find函数返回时0
  if((m_User.Find("'",0)+1)&&(m_Pwd.Find("'",0)+1))
  {
    AfxMessageBox("请勿举行不法登录!");
    exit(0);
    return ;
  }

m_User变量为CString范例,与用户名输入控件绑定;
m_Pwd变量为CString范例,与用户密码输入控件绑定;
利用CString范例可以很便利的利用其类成员函数find找到不法字符.这里仅仅考虑了单引号,其实已经充足,大概我考虑的不全面,大家可以提出看法.