我使用期望使用SQL字符串的API。我接受用户输入,对其进行转义并将其传递给API。用户输入非常简单。它要求列值。像这样:
string name = userInput.Value;
然后,我构造一个SQL查询:
string sql = string.Format("SELECT * FROM SOME_TABLE WHERE Name = '{0}'",
name.replace("'", "''"));
这样够安全吗?如果不是,是否有一个简单的库函数使列值安全:
string sql = string.Format("SELECT * FROM SOME_TABLE WHERE Name = '{0}'",
SqlSafeColumnValue(name));
该API使用SQLServer作为数据库。
SELECT [Name], [Value] FROM [SomeTable] WHERE [Name] IN (@ListOfNames) 我的意思是其他方式,而不是 var listParNames = listNames.Select(name => { var pname = string.Format("@n{0}", cmd.Parameters.Count); cmd.Parameters.AddWithValue(pname, name); return pname; }); cmd.CommandText = string.Format("SELECT [Name], [Value] FROM [SomeTable] WHERE [Name] in ({0})", string.Join(",", listParNames.ToArray())); 直接使用cmd.Parameters.AddWithValue("@ListOfNames", listNames.ToArray());
Answers:
由于不能使用SqlParameter,因此只需在字符串文字中用'(用两个单引号而不是一个双引号)替换'。而已。
致低俗人士:重新阅读问题的第一行。“使用参数”也是我的直觉。
编辑:是的,我知道SQL注入攻击。如果您认为此报价容易受到影响,请提供一个有效的反例。我认为不是。
我正在使用动态sql(我可以听到射击队正在加载步枪)来进行搜索,但是只要用户搜索姓氏为“ O'Reilly”的人,它就会中断。
我设法找出一种解决方法(请阅读“ hack”):
在sql中创建了一个标量值函数,用两个单引号替换了一个单引号,有效地转义了有问题的单引号,因此
“ ... Surname LIKE'%O'Reilly%'AND ...”变为“ ... Surname就像'%O''Reilly%'AND ...“
每当我怀疑字段可以包含单引号(即:firstname,lastname)时,就会从sql中调用此函数。
CREATE FUNCTION [dbo].[fnEscapeSingleQuote]
(@StringToCheck NVARCHAR(MAX))
RETURNS NVARCHAR(MAX)
AS
BEGIN
DECLARE @Result NVARCHAR(MAX)
SELECT @Result = REPLACE(@StringToCheck, CHAR(39), CHAR(39) + CHAR(39))
RETURN @Result
END
不是很优雅或高效,但是当您紧要关头时,它就可以工作。
SqlCommand和Entity Framework的使用exec sp_executesql...。
因此,大概可以用您自己的转义模式替代原始字符串。使用SqlCommand,从技术上讲,您正在使用参数化查询,但是您绕过了基础SQL代码的ADO.Net抽象。
因此,尽管您的代码不会阻止SQL注入,但最终的答案是sp_executesql而不是SqlCommand。
话虽这么说,我敢肯定生成使用sp_executesql的防SQL注入字符串的特殊处理要求。
简单:
const string sql = "SELECT * FROM SOME_TABLE WHERE Name = @name";
并添加@name带有值的参数:
cmd.CommandText = sql;
cmd.Parameters.AddWithValue("@name", name);
如果您需要对MSSQL查询进行转义,请尝试以下操作:
System.Security.SecurityElement.Escape(Value)