有SQL注入像在401.1上texbox结果文本提交

Question

这是在八月跟进我的帖子后面：Asks for AD credentials/"Connection Interrupted" on Postback

问题的新纪录再次弹出，我已经确定有问题的文本是“... Sharepoint网站[分号]更新团队日程安排...”。注意“[分号]更新团队”？这是完全有效的，而不是SQL注入。将其更改为逗号，它不会提出任何问题。将“更新”更改为另一个SQL关键字，用户会被提示输入其凭据（通常会被拒绝），然后显示IIS 401.1页面。

是的，你需要用角色替换[分号]，因为SO不会让我发布。

在@Page，我有ValidateRequest="false"（是的，从文本框的内容正在经历HttpUtility.HtmlEncode作为参数输入到存储过程）

任何想法？

Answer 1

这听起来像一个负载均衡器或类似的，看到;update和怀疑SQL注入。在你和网络服务器之间寻找一个有问题的硬件。

要确认，请尝试直接在Web服务器本身上张贴来自会话的违规文本。我猜你会这样做没有问题。