У меня есть несколько запросов (к базе данных acccess) следующим образом:
string comando = "SELECT * FROM ANAGRAFICA WHERE E_MAIL='" + user + "' AND PASSWORD_AZIENDA='" + password + "'";
и я хотел бы "убежать" от пользователя и пароля, предотвращая инъекцию.
Как я могу это сделать с С# и .NET 3.5? Я ищу что-то вроде mysql_escape_string на PHP...
Вам нужно использовать параметры. Ну, не нужно, но будет предпочтительнее.
SqlParameter[] myparm = new SqlParameter[2];
myparm[0] = new SqlParameter("@User",user);
myparm[1] = new SqlParameter("@Pass",password);
string comando = "SELECT * FROM ANAGRAFICA WHERE [email protected] AND [email protected]";
Не запускайте строки для начала - используйте параметризованный запрос. Преимущества этого для ускорения:
Документы для SqlCommand.Parameters дают хороший, полный пример.
Вы должны использовать SQL-параметры для предотвращения SQL-инъекций посмотрите код
//
// The name we are trying to match.
//
string dogName = "Fido";
//
// Use preset string for connection and open it.
//
string connectionString = ConsoleApplication716.Properties.Settings.Default.ConnectionString;
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
//
// Description of SQL command:
// 1. It selects all cells from rows matching the name.
// 2. It uses LIKE operator because Name is a Text field.
// 3. @Name must be added as a new SqlParameter.
//
using (SqlCommand command = new SqlCommand("SELECT * FROM Dogs1 WHERE Name LIKE @Name", connection))
{
//
// Add new SqlParameter to the command.
//
command.Parameters.Add(new SqlParameter("Name", dogName));
//
// Read in the SELECT results.
//
SqlDataReader reader = command.ExecuteReader();
while (reader.Read())
{
int weight = reader.GetInt32(0);
string name = reader.GetString(1);
string breed = reader.GetString(2);
Console.WriteLine("Weight = {0}, Name = {1}, Breed = {2}", weight, name, breed);
}
}
}
Да, вы можете избежать инъекций, используя Named Parameters
Используйте параметры вместо escape-строк:
var comando = "SELECT * FROM ANAGRAFICA WHERE [email protected] AND [email protected]";
Затем присвойте значения этим параметрам перед тем, как выполнить SqlCommand.
Вы можете проверить приведенную ниже ссылку, чтобы узнать, как предотвратить SQL-инъекцию в ASP.Net. Я предпочел бы использовать
Если вы можете преобразовать их в Именованные параметры, я думаю, вам будет лучше.
@Jethro
Вы также можете записать его так:
SqlParameter[] sqlParams = new SqlParameter[] {
new SqlParameter("@Name", contact.name),
new SqlParameter("@Number", contact.number),
new SqlParameter("@PhotoPath", contact.photoPath),
new SqlParameter("@ID", contact.id)
};
PT: Siga os passos a seguir e resolva o problema de SQL INJECTION
RU: Выполните следующие действия и устраните проблему SQL INJECTION:
ES: Siga los siguientes pasos y resolver el problema de la inyección de SQL:
OracleParameter[] tmpParans = new OracleParameter[1];
tmpParans[0] = new Oracle.DataAccess.Client.OracleParameter("@User", txtUser.Text);
string tmpQuery = "SELECT COD_USER, PASS FROM TB_USERS WHERE COD_USER = @User";
OracleCommand tmpComand = new OracleCommand(tmpQuery, yourConnection);
tmpComand.Parameters.AddRange(tmpParans);
OracleDataReader tmpResult = tmpComand.ExecuteReader(CommandBehavior.SingleRow);