堆棧內存溢出
  簡體   English   中英

C#數據表作為SQL參數的安全性

[英]Safety of C# DataTable as SQL Parameter

 原文  2017-09-12 16:00:09       c#/ tsql/ sql-injection

問題描述

我最近閱讀了很多有關SQL注入的信息,並且我知道SqlParameter不能肯定地阻止注入,但是表參數和單個參數一樣安全嗎?

一些未經測試的未經編譯的示例代碼可用於澄清:

這是...

SQL: 

CREATE PROCEDURE dbo.InsertSingle 
    @Name nvarchar(max),
    @Phone nvarchar(max)
AS
BEGIN
    SET NOCOUNT ON; 

    INSERT INTO FooBar.dbo.SomeTable 
    VALUES(@Name, @Phone)
END
GO

C#: 

foreach(User u in Users) 
{
     Connection.Open();

     SqlCommand com = Connection.CreateCommand();
     com.CommandType = CommandType.StoredProcedure;
     com.CommandText = "dbo.InsertSingle";

     SqlParameter p = new SqlParameter("@Name", u.Name);
     com.Parameters.Add(p);

     p = new SqlParameter("@Phone", u.Phone);
     com.Parameters.Add(p);

     com.ExecuteScalar();
}

像這樣安全嗎?

SQL: 

CREATE PROCEDURE dbo.InsertBunch 
    @ValuesAsTable dbo.ValuesAsTableType READONLY
AS
BEGIN
    SET NOCOUNT ON;

    INSERT INTO FooBar.dbo.SomeTable 
        SELECT * 
        FROM @ValuesAsTable
END
GO

C#: 

DataTable valuesAsTable = Users.GetSomeInsertData();
Connection.Open();

SqlCommand com = Connection.CreateCommand();
com.CommandType = CommandType.StoredProcedure;
com.CommandText = "dbo.InsertBunch";

SqlParameter p = new SqlParameter("@valuesAsTable", valuesAdTable);
p.SqlDbType = SqlDbType.Structured;
p.TypeName = "dbo.ValuesAsTableType";
com.Parameters.Add(p);

com.ExecuteScalar();

我確實嘗試搜索它,但是找不到很好的輸入。 誰能以正確的方向聯系我?

提前致謝

1 個解決方案

解決方案1
 3 已采納  2017-09-12 19:32:31

如果無法將類型的參數解釋為文字命令並執行,則類型化的參數將阻止SQL注入。 無論將它們作為標量還是表值參數進行傳輸,在這方面都沒有任何區別。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 C#:數據線程安全問題 C#如何將沒有UDT的DataTable參數傳遞給SQL Server SQL后備或C#數據表 C#值類型參數復制線程安全 C#LINQ表達式作為DataTable方法的參數 C# 中的方差安全性 C#DataTable進入SQL Server存儲過程 使用C#將.sql文件加載到DataSet或DataTable 使用c#在SQL中插入數據表 從DataTable到Array的C#SQL數據
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM