[英]Safety of C# DataTable as SQL Parameter
我最近阅读了很多有关SQL注入的信息,并且我知道SqlParameter
不能肯定地阻止注入,但是表参数和单个参数一样安全吗?
一些未经测试的未经编译的示例代码可用于澄清:
这是...
SQL:
CREATE PROCEDURE dbo.InsertSingle
@Name nvarchar(max),
@Phone nvarchar(max)
AS
BEGIN
SET NOCOUNT ON;
INSERT INTO FooBar.dbo.SomeTable
VALUES(@Name, @Phone)
END
GO
C#:
foreach(User u in Users)
{
Connection.Open();
SqlCommand com = Connection.CreateCommand();
com.CommandType = CommandType.StoredProcedure;
com.CommandText = "dbo.InsertSingle";
SqlParameter p = new SqlParameter("@Name", u.Name);
com.Parameters.Add(p);
p = new SqlParameter("@Phone", u.Phone);
com.Parameters.Add(p);
com.ExecuteScalar();
}
像这样安全吗?
SQL:
CREATE PROCEDURE dbo.InsertBunch
@ValuesAsTable dbo.ValuesAsTableType READONLY
AS
BEGIN
SET NOCOUNT ON;
INSERT INTO FooBar.dbo.SomeTable
SELECT *
FROM @ValuesAsTable
END
GO
C#:
DataTable valuesAsTable = Users.GetSomeInsertData();
Connection.Open();
SqlCommand com = Connection.CreateCommand();
com.CommandType = CommandType.StoredProcedure;
com.CommandText = "dbo.InsertBunch";
SqlParameter p = new SqlParameter("@valuesAsTable", valuesAdTable);
p.SqlDbType = SqlDbType.Structured;
p.TypeName = "dbo.ValuesAsTableType";
com.Parameters.Add(p);
com.ExecuteScalar();
我确实尝试搜索它,但是找不到很好的输入。 谁能以正确的方向联系我?
提前致谢
如果无法将类型的参数解释为文字命令并执行,则类型化的参数将阻止SQL注入。 无论将它们作为标量还是表值参数进行传输,在这方面都没有任何区别。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.