asp.net里SqlDataAdapter存在Sql注入漏洞

以前一直以为asp.net调用mssql数据库，只要是调用时用存储过程来操作数据库，是安全的。原来是错误的，asp.net里的SqlDataAdapter里存在sql注入的漏洞。对于asp.net开发人员来说在使用SqlDataAdapter的时候要注意了。下面先介绍下.net操作数据库的这个SqlDataAdapter。

SqlDataAdapter:
用于填充 DataSet 和更新 SQL 数据库的“一组”数据命令和“一个”数据库连接。

SqlDataAdapter不但可以操作多个SQL命令,而且还可以操作一个SQL命令

SqlCommand:
对 SQL 数据库执行的“一个”SQL 语句或存储过程。
SqlCommand只能操作一个SQL命令

问题就出来在SqlDataAdapter可以调用多个SQL命令里。这样如果你给SqlDataAdapter参数的sql语句不做处理的话。别人就可以很方便的使用Sql来注入。

下面看下具体的实例：

 asp.net 里test.cs文件的程序：
 protected void Page_Load(object sender, EventArgs e)
    {
        if (Request.QueryString.Count == 1)
        {
            DbServer dbserver = new DbServer();
            System.Data.DataSet ds = new DataSet();
            string tablename = "table1";
            string strsql = string.Empty;
            strsql = " exec dtc_CompeteInfo " + Request.QueryString.Get(0);
            dbserver.FillDataset(strsql, ds, tablename);
     //下面省略处理
     ----
     ----
 }
    }
DbServer 类里的FillDataset函数为：
            // 根据SQL查询并用记录集填充DataSet
     public void FillDataset(string sql, DataSet ds, string tablename)
     {
  SqlConnection conn = new SqlConnection(CONNECTIONSTR);
  SqlDataAdapter da = new SqlDataAdapter(sql, conn);
  da.Fill(ds, tablename);
  da.Dispose();
  conn.Close();
  conn.Dispose();
  da = null;
  conn = null;
     }
上面的程序，如果正常的执行http://www.xxx.com/test.aspx?id=100 。
程序最后执行：SqlDataAdapter da = new SqlDataAdapter('exec dtc_CompeteInfo 100', conn);
dtc_CompeteInfo为一个存储过程,100为给这个存储过程的传递的参数值。程序正常执行。
但是当你构造这样一个地址http://www.xxx.com/test.aspx?id=100;update t_table set t_a='admin' 传递的时候。我们分析下会出现怎么样的情况呢？由于SqlDataAdapter能执行一组SQL命令。这样程序实际上变成strsql=" exec dtc_CompeteInfo 100;update t_table set t_a='admin'。然后在SqlDataAdapter执行exec dtc_CompeteInfo 100和update t_table set t_a='admin'二个sql语句了。从而到达了注入的目的。想想如果网站连接数据库的帐号是sa的话。可以做什么呢？什么都可以做。增加新用户，取得最高权限。这台电脑就完全控制了。