使用参数化的SqlCommand是否使我的程序免受SQL注入？

Question

我知道SQL注入相当危险.现在在我的C#代码中,我用SqlCommand类构成参数化查询:

SqlCommand command = ...;
command.CommandText = "SELECT * FROM Jobs WHERE JobId = @JobId;";
command.Parameters.Add("@JobId", SqlDbType.UniqueIdentifier ).Value = actualGuid;
command.ExecuteNonQuery();

这会自动使我的代码免受SQL注入吗？我需要做些额外的事吗？

Answer 1

对于参数化查询,我会说你的特定的,可能是规范的例子,是的,这就足够了.

但是,人们有时会编写这样的代码

cmd.CommandText = string.Format("SELECT * FROM {0} WHERE col = @col;", tableName);
cmd.Parameters.Add("@col", ...);

因为根本没有办法将tablename本身作为参数传递,并且有时存在的愿望 - 被误导或没有.它似乎经常被忽略,tableName(除非可能只读取一组不从任何输入派生的静态/常量值)确实允许SQL注入.

Answer 2

根据此MSDN文章的注释,"特殊输入字符仅对动态SQL构成威胁,而不是在使用参数化SQL时."

所以我相信你对SQL注入是安全的.在URL中使用Idendity Values等标识符时可能存在一些逻辑风险,但这是另一个故事.

Answer 3

SQL注入主要依赖于动态SQL的执行.换句话说,SQL语句与用户输入值的串联构造的SQL语句.

为了完全避免SQL注入,

保护自己免受SQL注入攻击并不是很困难.不受SQL注入攻击影响的应用程序验证并清理所有用户输入,从不使用动态SQL,使用具有少量权限的帐户执行,散列或加密其秘密,并显示错误消息,向黑客显示很少的有用信息.通过采用多层次的预防方法,您可以放心,如果绕过一个防御,您仍然会受到保护.

来自MSDN