Как предотвратить свертывание строк SQL Injection

Ответ 1

Вам нужно использовать параметры. Ну, не нужно, но будет предпочтительнее.

SqlParameter[] myparm = new SqlParameter[2];
myparm[0] = new SqlParameter("@User",user);
myparm[1] = new SqlParameter("@Pass",password);

string comando = "SELECT * FROM ANAGRAFICA WHERE [email protected] AND [email protected]";

Ответ 2

Не запускайте строки для начала - используйте параметризованный запрос. Преимущества этого для ускорения:

• Код легче читать
• Вам не нужно полагаться на правильное использование escape-кода
• Возможно, что есть улучшения производительности (специфичные для БД и т.д.).
• Он отделяет "код" (SQL) от данных, что логически логично.
• Это означает, что вам не нужно беспокоиться о форматах данных для таких вещей, как числа и даты/время.

Документы для SqlCommand.Parameters дают хороший, полный пример.

Ответ 3

Вы должны использовать SQL-параметры для предотвращения SQL-инъекций посмотрите код

//
// The name we are trying to match.
//
string dogName = "Fido";
//
// Use preset string for connection and open it.
//
string connectionString = ConsoleApplication716.Properties.Settings.Default.ConnectionString;
using (SqlConnection connection = new SqlConnection(connectionString))
{
    connection.Open();
    //
    // Description of SQL command:
    // 1. It selects all cells from rows matching the name.
    // 2. It uses LIKE operator because Name is a Text field.
    // 3. @Name must be added as a new SqlParameter.
    //
    using (SqlCommand command = new SqlCommand("SELECT * FROM Dogs1 WHERE Name LIKE @Name", connection))
    {
    //
    // Add new SqlParameter to the command.
    //
    command.Parameters.Add(new SqlParameter("Name", dogName));
    //
    // Read in the SELECT results.
    //
    SqlDataReader reader = command.ExecuteReader();
    while (reader.Read())
    {
        int weight = reader.GetInt32(0);
        string name = reader.GetString(1);
        string breed = reader.GetString(2);
        Console.WriteLine("Weight = {0}, Name = {1}, Breed = {2}", weight,    name, breed);
    }
    }
}

Ответ 4

Да, вы можете избежать инъекций, используя Named Parameters

Ответ 5

Используйте параметры вместо escape-строк:

var comando = "SELECT * FROM ANAGRAFICA WHERE [email protected] AND [email protected]";

Затем присвойте значения этим параметрам перед тем, как выполнить SqlCommand.

Ответ 6

Вы можете проверить приведенную ниже ссылку, чтобы узнать, как предотвратить SQL-инъекцию в ASP.Net. Я предпочел бы использовать

• Использование параметризованных запросов или хранимых процедур.
• Проверка специальных символов, таких как '(очень опасно)

http://dotnet.dzone.com/news/aspnet-preventing-sql-injectio

Ответ 7

Если вы можете преобразовать их в Именованные параметры, я думаю, вам будет лучше.

Ответ 8

@Jethro

Вы также можете записать его так:

SqlParameter[] sqlParams = new SqlParameter[] {
    new SqlParameter("@Name", contact.name),
    new SqlParameter("@Number", contact.number),
    new SqlParameter("@PhotoPath", contact.photoPath),
    new SqlParameter("@ID", contact.id)
};

Ответ 9

PT: Siga os passos a seguir e resolva o problema de SQL INJECTION

RU: Выполните следующие действия и устраните проблему SQL INJECTION:

ES: Siga los siguientes pasos y resolver el problema de la inyección de SQL:

OracleParameter[] tmpParans = new OracleParameter[1];

tmpParans[0] = new Oracle.DataAccess.Client.OracleParameter("@User", txtUser.Text);

string tmpQuery = "SELECT COD_USER, PASS FROM TB_USERS WHERE COD_USER = @User";

OracleCommand tmpComand = new OracleCommand(tmpQuery, yourConnection);

tmpComand.Parameters.AddRange(tmpParans);


OracleDataReader tmpResult = tmpComand.ExecuteReader(CommandBehavior.SingleRow);