为了避免SQL Server中的SQL注入攻击,应从字符串中转义所有哪些字符?
[英]What are all the characters that should be escaped from a string to avoid SQL injection attacks in SQL Server?
问题描述
我正在编写一个小的帮助程序库,该库正在构造一些SQL并针对SQL Server数据库执行该程序。
我知道最好的方法是使用参数化查询而不是连接字符串,但这不是一个选择,因为我需要记录以一种普通的人类可读方式对数据库执行的所有查询,以便管理员,他们可以自由地查看where子句中用于搜索的实际值。
将字符串放入查询并执行之前,我必须转义哪些字符?
我知道单引号'是必须的,但我是否需要关心其他事项?
这是一些示例代码:
var condition = new Condition();
var table = new PersonTable();
condition.Add(table.Name.IsEqualTo("John's"));
这将被转换为
WHERE [dbo].[Person].[Name] = N'John''s'
如果我只接受IsEqualTo方法中的string ,并用''转义单个' ,该如何解决呢?
据我所知,SQL Server仅接受'作为字符串定界符。
2 个解决方案
解决方案1
9 2013-10-15 12:55:40
任何已知字符集中的每个单个字符。
现在,使用成熟可靠的技术。
解决方案2
-3 2013-10-15 13:17:01
您应该转义以下字符:
'-' because of '--' (comment)
'=' because of 1=1
'>' or '<' because of 1>0
'%' because of Like '%%'
char(39) because of it is equivalent to '
'"' because it can use in delimiters
'[',']' because it can use in delimiters
我可以在用户输入上使用asp.net验证器来避免sql注入攻击吗?
[英]Can I use asp.net validators on user input to avoid sql injection attacks?
在模式/表名中使用'['和']'字符时,如何避免SQL注入?
[英]How to avoid SQL Injection when using '[' and ']' characters for schema/table names?
使用Linq避免使用C#代码在MSSQL Server上进行SQL注入的最佳方法?
[英]Best way to avoid SQL injection on MSSQL Server from C# code using Linq?
在SQL Server连接字符串中应使用哪种身份验证方法?
[英]What authentication method should I use in SQL server connection string?
使用存储过程是否可以防止SQL Injection / XSXX攻击?
[英]Does using stored procedures prevent SQL Injection/XSXX Attacks?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.