我通常创建参数化查询以避免SQL注入攻击.但是,我有这种特殊情况,我还没有完全做到这一点:public DataSet getLiveAccountingDSByParameterAndValue(string parameter, string value){string sql = select table_re...
我通常创建参数化查询以避免SQL注入攻击.但是,我有这种特殊情况,我还没有完全做到这一点:
public DataSet getLiveAccountingDSByParameterAndValue(string parameter, string value)
{
string sql = "select table_ref as Source, method as Method, sip_code as Code, " +
" from view_accountandmissed " +
" where " + parameter + " like @value " +
" order by time DESC ";
MySqlCommand cmd = commonDA.createCommand(sql);
cmd.Parameters.Add("@value", MySqlDbType.String);
cmd.Parameters["@value"].Value = "%" + value + "%";
MySqlDataAdapter objDA = commonDA.createDataAdapter(cmd);
DataSet objDS = new DataSet();
objDA.Fill(objDS);
return objDS;
}
正如您所看到的,我正在创建@value作为参数,但如果我尝试对参数执行相同操作,则查询将失败.
那么,使用此查询是否存在SQL注入的风险?另外,请注意该参数由DropDownList的SelectedValue(不是TextBox,因此输入受限)设置.如果是这样,我该如何改进此查询?
解决方法:
就在这里:
" where " + parameter + " like @value " +
参数中的值是您的风险.在回发中,您应检查所选值是否在下拉列表的起始值集中.
使参数成为枚举并将枚举传递给您的函数.这将消除风险(类似于:未经测试):
public DataSet getLiveAccountingDSByParameterAndValue(ParameterEnum parameter, string value)
.....
" where " + parameter.ToString() + " like @value " +
ParameterEnum包含下拉列表中所有可能值的列表.在后面的代码中,将所选值解析为枚举.
沃梦达教程
本文标题为:c# – 此查询是否存在SQL注入风险?如果是这样,我该如何避免呢?
猜你喜欢
- c#如何使用 XML 文档功能 2023-03-14
- Unity制作小地图和方向导航 2023-01-12
- c# – UseInMemoryDatabase与UseInternalServiceProvider.没有配置数据库提供商 2023-11-13
- C# 抽象类,抽象属性,抽象方法(实例讲解) 2022-12-02
- Winform控件优化之圆角按钮2 2023-07-04
- C#9特性record 类型、模式匹配、init 属性详情 2023-04-28
- C# SQLite库使用技巧 2023-05-12
- Unity3d实现无限循环滚动背景 2023-05-12
- C#实现策略模式 2023-06-21
- 用C#绘制九宫格形式的图片 2023-05-16
