那些遇到过的问题

使用C#和SQL注入创建数据库

RRM*_*RRM 5 .net c# sql sql-server

我有以下代码用于从C#应用程序创建一些数据库

SqlConnection myConnection = new SqlConnection(ConnectionString);
string myQuery = "CREATE DATABASE " + tbxDatabase.Text; //read from textbox
myConnection.Open();
SqlCommand myCommand = new SqlCommand(myQuery, myConnection);
myCommand.ExecuteNonQuery();
Run Code Online (Sandbox Code Playgroud)

现在我担心它是否安全,C#会接受黑客输入,如"A; DROP TABLE B"或类似的东西吗?如何让它更安全?

Joh*_*Woo 5

表名和列名不能参数化,但对于第一道防线,用大括号等分隔符包裹表名,

string myQuery = "CREATE DATABASE [" + tbxDatabase.Text + "]";
Run Code Online (Sandbox Code Playgroud)

或者创建一个用户定义的函数来检查输入的值,例如

private bool IsValid(string tableName)
{
    // your pseudocode
    // return somthing
}
Run Code Online (Sandbox Code Playgroud)

然后在你的代码上,

if (IsValid(tbxDatabase.Text))
{
    SqlConnection myConnection = new SqlConnection(ConnectionString);
    string myQuery = "CREATE DATABASE [" + tbxDatabase.Text + "]";
    myConnection.Open();
    SqlCommand myCommand = new SqlCommand(myQuery, myConnection);
    myCommand.ExecuteNonQuery();
}
else
{
    // invalid name
}
Run Code Online (Sandbox Code Playgroud)

  • 我同意您的验证建议,但是如何在表名中添加括号提供安全性?例如`"test] drop database xxx --"` (2认同)

归档时间:

查看次数:

750 次

最近记录:

12 年,10 月 前
如何防止SQL注入转义字符串 18
更多相关链接
相关归档
如何从其他线程更新GUI? 1331
如何在内存中获取对象大小? 195
你如何强制mysql LIKE区分大小写? 80
为什么C#编译器在最后一个条件调用时会删除一系列方法调用? 69
如何重写IS DISTINCT FROM并且不是DISTINCT FROM? 49
多种数据类型的列表? 46
在C#XML文档中引用泛型类型的泛型类型? 41
LINQ to Entities无法识别方法'System.DateTime GetValueOrDefault()' 27
生成数据库数据的SQL脚本(SQL SERVER) 10
SQL Server单个查询内存使用情况 7
难疑归档
如果我有jQuery背景,"在AngularJS中思考"? 4518
HashMap和Hashtable之间的区别? 3604
不区分大小写'包含(字符串)' 2785
如何测试空的JavaScript对象? 2730
原子和非原子属性之间有什么区别? 1828
如何在没有换行或空格的情况下打印? 1760
什么是非捕获组?(?:)做什么? 1653
我如何开始使用Node.js 1264
如何从JavaScript对象中删除密钥? 1171
在Notepad ++中将制表符转换为空格 1042