关于Mysql + asp.net注射能支持多语句的感慨-阿里云开发者社区

关于Mysql + asp.net注射能支持多语句的感慨

2010-09-08 799

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 RDS MySQL，集群版 2核4GB 100GB

RDS MySQL Serverless 基础系列，0.5-2RCU 50GB

RDS MySQL Serverless 高可用系列，价值2615元额度，1个月

简介： 在一篇老外的文章里面看到一个图表，致使Mysql + Asp.Net 注入时支持多语句真的？有点不信，测试了下： protected void Page_Load(object se...

在一篇老外的文章里面看到一个图表，致使Mysql + Asp.Net 注入时支持多语句

真的？有点不信，测试了下：

protected void Page_Load(object sender, EventArgs e)
 {
 try
 {
 Response.Write("使用Mysql.Data.MySqlClient ");
 string myConnectionString = "server=localhost;user id=root;password=123456;database=test";
 MySqlConnection myConnection = new MySqlConnection(myConnectionString);
 string myQuery = "select * from admin where id=" + Request.QueryString["id"];
 Response.Write("SQL:" + myQuery + " ");
 MySqlCommand myCommand = new MySqlCommand(myQuery, myConnection);
 myConnection.Open();
 myCommand.ExecuteReader();
 myCommand.Connection.Close();
 }
 catch (MySqlException err)
 {
 Response.Write("Error:" + err.Message);
 }

 //try
 //{
 // Response.Write("使用Mysql ODBC驱动 ");
 // string myConnectionString = "DRIVER={MySQL ODBC 3.51 Driver};SERVER=localhost;DATABASE=test;UID=root;PASSWORD=123456;OPTION=3";
 // string myQuery = "select * from admin where id=" + Request.QueryString["id"];
 // Response.Write("SQL:" + myQuery + " ");
 // OdbcConnection myConnection = new OdbcConnection(myConnectionString);
 // OdbcCommand myCommand = new OdbcCommand(myQuery, myConnection);
 // myConnection.Open();
 // myCommand.ExecuteReader();
 // myCommand.Connection.Close();
 //}
 //catch(OleDbException err)
 //{
 // Response.Write("Error:" + err.Message);
 //}
 }

这里面是连接mysql常用的两个方式，一个是用Mysql.Data.MySqlClient这个类。二个try是使用更加传统的odbc方式。

Step 1:注释第一个代码段，访问http://localhost:2928/MysqlInj_test/MysqlInj_test.aspx?id=1;create table test(i int) 结果得到如下的错误信息：

“/MysqlInj_test”应用程序中的服务器错误。
--------------------------------------------------------------------------------

ERROR [42000] [MySQL][ODBC 3.51 Driver][mysqld-5.0.45-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ';create table test(i int)' at line 1

到test库下面看，表test没有被创建

Step 2:注释第二个代码段，刷新页面。页面返回

使用Mysql.Data.MySqlClient

SQL:select * from admin where id=1;create table test(i int)

继续按F5刷新这个页面，得到如下消息

使用Mysql.Data.MySqlClient

SQL:select * from admin where id=1;create table test(i int)
Error:Table 'test' already exists

跑到test库看，果然有个叫test的表被创建了。乖乖，看来老外说的是真的，但是对了一半。

原来Mysql能不能多语句执行，这和处理它的数据库驱动有很大关系。不知道是不是绝对联系，但是至少是一个重要的因素。

推而广之呢？

相关实践学习

基于CentOS快速搭建LAMP环境

本教程介绍如何搭建LAMP环境，其中LAMP分别代表Linux、Apache、MySQL和PHP。

全面了解阿里云能为你做什么

阿里云在全球各地部署高效节能的绿色数据中心，利用清洁计算为万物互联的新世界提供源源不断的能源动力，目前开服的区域包括中国（华北、华东、华南、香港）、新加坡、美国（美东、美西）、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程，来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品：云服务器ECS 云服务器 ECS（Elastic Compute Service）是一种弹性可伸缩的计算服务，助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs

关于Mysql + asp.net注射能支持多语句的感慨

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像