Ell*_*lis 0 c# sql sql-server sql-injection
我有一些代码访问SQL Server数据库中的表:
...
if (GetViewNames(connection).Contains(name))
{
query = "SELECT * FROM [" + name + "]";
}
...
这是"GetViewNames":
private List<string> GetViewNames(SqlConnection connection)
{
List<string> viewNames = new List<string>();
foreach (DataRow row in connection.GetSchema("Views").Rows)
{
// The third element in the "rows" array is the name of the view.
viewNames.Add(row[2].ToString());
}
return viewNames;
}
我想知道的是这个代码是否对SQL注入开放.name是一个通过URL传递的字符串(坏,我知道),但它只会查询数据库,如果name在我的表列表中,对吧?或者我在这里遗漏了什么?
我不是安全专家,所以请善待您的回复.
小智 5
没有什么能阻止你创建一个名为的视图users];DROP TABLE [users.应该清楚使用此视图名称执行代码时会发生什么.
如果您的所有观点都是由您自己命名的,那么可以保证它的安全,但我建议您使用QUOTENAME以防万一.