插入帶有SQL注入安全參數的DB?
[英]Inserting into DB with parameters safe from SQL injection?
問題描述
我一直在閱讀有關SQL注入的內容,我想確保我的代碼可以說是“安全”,我打算使用RegExp驗證器來檢查用戶輸入,但是這里的另一個帖子建議只使用參數化查詢,我我正在使用它們,但我想確保我的代碼是安全的,是嗎?
using ( SqlConnection dataConnection = new SqlConnection(myConnectionString) )
{
using ( SqlCommand dataCommand = dataConnection.CreateCommand() )
{
dataCommand.CommandText = "INSERT INTO Lines (Name, CreationTime) " +
"VALUES (@LineName, @CurrentDateTime)";
dataCommand.Parameters.AddWithValue("@LineName", TextBox2.Text);
dataCommand.Parameters.AddWithValue("@CurrentDateTime", DateTime.Now.ToString());
dataConnection.Open();
//do other DB stuff
我打破了最后一部分以使帖子更短,其余部分只是嘗試捕獲異常並關閉數據庫連接以及提供用戶關於插入成功的反饋。
3 個解決方案
解決方案1
11 已采納 2011-03-15 18:09:51
您的代碼很好,它可以防止注入,因為值是作為參數而不是字符串文字傳遞的。 但是,如果您自己編寫此類數據訪問,是否考慮過創建SqlParameter對象並顯式設置類型,大小等,並將參數添加到命令中? AddWithValue可以正常工作,但SQL Server必須確定類型,一點點,但不必要的開銷。
解決方案2
1 2011-03-15 18:07:31
好吧,你總是可以嘗試在文本框中注入一個SQL語句,這可能會給你一個更快,更明確的答案。
解決方案3
1 2011-03-15 18:10:28
是的,這是相當安全的。 只要你不使用預准備語句中的“已清理”變量來生成動態sql,你通常都可以。 您正在使用預准備語句的事實將處理轉義字符和其他簡單的注入方法。
我不會放棄任何其他驗證...
使用Cosmos DB時,將CreateDocumentQuery與謂詞SQL Injection一起使用是否安全?
[英]Is using CreateDocumentQuery with predicate SQL Injection safe when using Cosmos DB?
如何生成安全的 SQL 命令字符串免受 SQL 注入?
[英]How to generate a SQL Command string that is safe from SQL Injection?
列表中的 FromSqlRaw 參數<String>這是安全的 sql 注入
[英]FromSqlRaw parameter from a List<String> that is safe from sql injection
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.