在这里,我们正在讨论在代码中使用参数化的sql查询的另一种讨论。在讨论中,我们有两个方面:我和其他一些人说我们应该始终使用参数来防止sql注入,而其他人则认为不需要。相反,他们希望在所有字符串中用两个撇号替换单个撇号,以避免sql注入。我们的数据库都运行Sql Server 2005或2008,我们的代码库在.NET Framework 2.0上运行。
让我给您一个简单的C#示例:
我希望我们使用这个:
string sql = "SELECT * FROM Users WHERE Name=@name";
SqlCommand getUser = new SqlCommand(sql, connection);
getUser.Parameters.AddWithValue("@name", userName);
//... blabla - do something here, this is safe
其他人想这样做时:
string sql = "SELECT * FROM Users WHERE Name=" + SafeDBString(name);
SqlCommand getUser = new SqlCommand(sql, connection);
//... blabla - are we safe now?
SafeDBString函数的定义如下:
string SafeDBString(string inputValue)
{
return "'" + inputValue.Replace("'", "''") + "'";
}
现在,只要对查询中的所有字符串值都使用SafeDBString,我们就应该是安全的。对?
使用SafeDBString函数有两个原因。首先,这是自石器时代以来一直采用的方法,其次,由于您看到了在数据库上运行的exact查询,因此调试sql语句更容易。
那就这样 我的问题是,使用SafeDBString函数是否足以避免sql注入攻击,是否真的足够。我一直在尝试查找破坏此安全措施的代码示例,但找不到任何示例。
有没有人可以打破这一点?你会怎么做?
编辑: 总结到目前为止的答复:
- 还没有人找到在SQL Server 2005或2008上解决SafeDBString的方法。那很好,我想呢?
- 一些答复指出,使用参数化查询可以提高性能。原因是查询计划可以重复使用。
- 我们还同意,使用参数化查询可以提供更易于维护的可读性更高的代码
- 此外,始终使用参数比使用各种版本的SafeDBString,字符串到数字的转换以及字符串到日期的转换要容易得多。
- 使用参数可以实现自动类型转换,这在我们使用日期或十进制数字时特别有用。
- 最后:不要像JulianR所写的那样尝试自己进行安全保护。数据库供应商在安全性上花费了大量时间和金钱。我们没有办法做得更好,也没有理由应该尝试做他们的工作。
因此,尽管没有人能够破坏SafeDBString函数的简单安全性,但我得到了许多其他很好的论据。谢谢!