那些遇到过的问题

在ASP.Net中防止SQL注入

Jam*_*lor 9 sql vb.net sql-server asp.net sql-injection

我有这个代码

UPDATE OPENQUERY (db,'SELECT * FROM table WHERE ref = ''"+ Ref +"'' AND bookno = ''"+ Session("number") +"'' ')
Run Code Online (Sandbox Code Playgroud)

我如何防止SQL注入呢?

UPDATE

这就是我正在尝试的

SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con); 
cmd.Parameters.AddWithValue("@ref", 34);
Run Code Online (Sandbox Code Playgroud)

出于某种原因,我尝试添加它的一切似乎都不起作用我会在SQL Command下面提到.

错误就是这个

'SqlCommand' is a type and cannot be used as an expression
Run Code Online (Sandbox Code Playgroud)

我正在接管其他人的工作,所以这对我来说是全新的,我想以正确的方式做事情,所以如果有人能提供更多帮助,如何使我的查询在SQL注射之上安全,那么请做.

更新2号

我在代码中添加了VasilP这样说

Dim dbQuery As [String] = "SELECT * FROM table WHERE ref = '" & Tools.SQLSafeString(Ref) & "' AND bookno = '" & Tools.SQLSafeString(Session("number")) & "'"
Run Code Online (Sandbox Code Playgroud)

但我得到一个错误Tools is not declared,我需要指定一个特定的命名空间才能工作吗?

UPDATE

有没有人有任何想法,以最好的方式从SQL注入安全我没有我遇到的错误?

UPDATE

我现在有它所以它没有参数位工作这里是我更新的源代码任何想法为什么它不会添加参数值?

Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'")
   conn.Open()


Dim query As New SqlCommand("Select * from openquery (db, 'Select * from table where investor = @investor ') ", conn)
query.Parameters.AddWithValue("@investor", 69836)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()
Run Code Online (Sandbox Code Playgroud)

它的工作原理如下

Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'")
   conn.Open()


Dim query As New SqlCommand("Select * from openquery (db, 'Select * from table where investor = 69836') ", conn)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()
Run Code Online (Sandbox Code Playgroud)

我得到的错误就是这个 

An error occurred while preparing a query for execution against OLE DB provider 'MSDASQL'.
Run Code Online (Sandbox Code Playgroud)

而且它的,因为它没有更换@investor69836

有任何想法吗?

这是我如何解决我的问题

Dim conn As SqlConnection = New SqlConnection("server='h'; user id='w'; password='w'; database='w'; pooling='false'")

conn.Open()

Dim query As New SqlCommand("DECLARE @investor varchar(10), @sql varchar(1000) Select @investor = 69836 select @sql = 'SELECT * FROM OPENQUERY(db,''SELECT * FROM table WHERE investor = ''''' + @investor + ''''''')' EXEC(@sql)", conn)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()
Run Code Online (Sandbox Code Playgroud)

现在我可以编写查询而无需担心SQL注入

Joh*_*ock 19

尝试使用参数化查询 这里是一个链接http://www.aspnet101.com/2007/03/parameterized-queries-in-asp-net/

另外,不要使用OpenQuery ...使用它来运行select

SELECT * FROM db...table WHERE ref = @ref AND bookno = @bookno
Run Code Online (Sandbox Code Playgroud)

更多文章描述了您的一些选择:

http://support.microsoft.com/kb/314520

连接到另一个SQL Server的T-SQL语法是什么?

编辑

注意:您的原始问题是询问分布式查询和链接服务器.此新语句不引用分布式查询.我现在只能假设您正在直接连接到数据库.这是一个应该有效的例子.这是使用SqlCommand.Parameters的另一个参考站点

SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con); 
cmd.Parameters.Add("@ref", SqlDbType.Int);
cmd.Parameters["@ref"] = 34;
Run Code Online (Sandbox Code Playgroud)

编辑:

好的Jamie taylor我会再次尝试回答你的问题.

您正在使用OpenQuery,因为您可能正在使用链接数据库

基本上问题是OpenQuery方法接受一个字符串,你不能将变量作为发送给OpenQuery的字符串的一部分传递.

您可以像这样格式化查询.表示法遵循servername.databasename.schemaname.tablename.如果您通过odbc使用链接服务器,则省略databasename和schemaname,如下所示

    Dim conn As SqlConnection = New SqlConnection("your SQL Connection String")
    Dim cmd As SqlCommand = conn.CreateCommand()
    cmd.CommandText = "Select * db...table where investor = @investor"
    Dim parameter As SqlParameter = cmd.CreateParameter()
    parameter.DbType = SqlDbType.Int
    parameter.ParameterName = "@investor"
    parameter.Direction = ParameterDirection.Input
    parameter.Value = 34
Run Code Online (Sandbox Code Playgroud)

Wil*_*ler 5

使用参数而不是连接SQL查询.

假设您的数据库引擎是SQL Server,这里有一段代码我希望对此有所帮助.

Using connection As SqlConnection = new SqlConnection("connectionString")
    connection.Open()

    Using command As SqlCommand = connection.CreateCommand()
        string sqlStatement = "select * from table where ref = @ref and bookno = @bookno";
        command.CommandText = sqlStatement
        command.CommandType = CommandType.Text

        Dim refParam As SqlDataParameter = command.CreateParameter()
        refParam.Direction = ParameterDirection.Input
        refParam.Name = "@ref"
        refParam.Value = Ref

        Dim booknoParam As SqlDataParameter = command.CreateParameter()
        booknoParam.Direction = ParameterDirection.Input
        booknoParam.Name = "@bookno"
        booknoParam.Value = Session("number")

        Try
            Dim reader As SqlDataReader = command.ExecuteQuery()
            ' Do your reading job here...'
        Finally
            command.Dispose()
            connection.Dispose()
        End Try
    End Using
End Using
Run Code Online (Sandbox Code Playgroud)

总结一下,不惜一切代价避免SQL语句连接,并使用参数化问题!

这是一个有趣的链接,它带您通过MSDN上的SQL注入问题解决:

How To: Protect From SQL Injection in ASP.NET

归档时间:

查看次数:

11022 次

最近记录:

10 年,8 月 前
连接到另一个SQL Server的T-SQL语法是什么? 57
更多相关链接
相关归档
从Sybase数据库,我如何获取表描述(字段名称和类型)? 25
从Point Geometry或Geography获取XY值 24
NOLOCK与事务隔离级别 19
无法加载文件或程序集'Newtonsoft.Json,Version = 7.0.0.0 17
Response.Redirect将数据POST到ASP.NET中的另一个URL 15
将Web服务从asmx升级到webAPI 10
业务逻辑层应该实现授权和身份验证吗? 9
"SubmitChanges()"上的LINQ to SQL"1/2更新失败" 9
有趣的SQL拼图 9
禁用关闭按钮VB.NET 5
难疑归档
什么是正确的JSON内容类型? 9962
使用Git将我的最后一次X提交压缩在一起 3294
如何在Python中连接两个列表? 2250
如何在PHP中解析和处理HTML/XML? 2071
如何强制使用favicon刷新? 1499
如何在Python中追加文件? 1446
int32的最大值是多少? 1383
静态只读与const 1349
如何在Python中打印到stderr? 1246
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196