sql参数必须参数化,否则,有心者可以通过参数对数据库可以做一些非常可怕的事情;
例如:
后台sql如果是拼接的,比如:select * from table where g_id=Context.Request["g_id"];
请求url:http://localhost:64065/Handler/TemplateHandler.ashx?Action=GetGridConfigInfo&g_id=1CBC2F32-77F9-484B-B507-5B4C1BD24998
在参数后添加
' or 1=1;delete from 表名--
就可以把表