Technologieaustausch

C#-Methode zur Überprüfung, ob die Eingabeanweisung einen SQL-Eingriff enthält

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Um zu überprüfen, ob vom Benutzer eingegebene Daten SQL-Injection-Angriffsanweisungen in C# WinForms enthalten, können Sie verschiedene Methoden verwenden, um SQL-Injection zu erkennen und zu verhindern. Hier sind einige gängige Methoden:

1. Verwenden Sie parametrisierte Abfragen

Parametrisierte Abfragen sind die beste Methode zur Verhinderung von SQL-Injection, indem Benutzereingaben als Parameter an die SQL-Abfrage übergeben werden, anstatt sie direkt in die SQL-Zeichenfolge einzubetten. Dadurch wird sichergestellt, dass Benutzereingaben nicht als SQL-Code interpretiert werden.

  1. using System.Data.SqlClient;
  2. public void ExecuteQuery(string userInput)
  3. {
  4. string connectionString = "数据库连接字符串";
  5. string query = "SELECT * FROM Users WHERE Username = @Username";
  6. using (SqlConnection connection = new SqlConnection(connectionString))
  7. using (SqlCommand command = new SqlCommand(query, connection))
  8. {
  9. command.Parameters.AddWithValue("@Username", userInput);
  10. connection.Open();
  11. SqlDataReader reader = command.ExecuteReader();
  12. while (reader.Read())
  13. {
  14. // Process the data
  15. }
  16. }
  17. }

2. Überprüfen Sie die Benutzereingaben auf gefährliche Zeichen

Gängige SQL-Injection-Zeichen und Schlüsselwörter wie einfache Anführungszeichen ('),Anführungszeichen ("), Semikolon (;), Kommentarsymbol (--) sowie gängige SQL-Schlüsselwörter wie SELECTINSERTDELETEUPDATEDROP usw).

  1. public bool IsSqlInjection(string input)
  2. {
  3. string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };
  4. foreach (string item in sqlCheckList)
  5. {
  6. if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)
  7. {
  8. return true;
  9. }
  10. }
  11. return false;
  12. }
  13. string userInput = txtUserInput.Text;
  14. if (IsSqlInjection(userInput))
  15. {
  16. MessageBox.Show("输入包含不安全的字符,请重新输入。");
  17. }
  18. else
  19. {
  20. // 继续处理用户输入
  21. ExecuteQuery(userInput);
  22. }

3. Verwenden Sie das ORM-Framework

Die Verwendung eines ORM-Frameworks (Object Relational Mapping) wie Entity Framework kann das Risiko einer SQL-Injection erheblich reduzieren, da das ORM-Framework parametrisierte Abfragen automatisch verarbeitet.

  1. using (var context = new YourDbContext())
  2. {
  3. var user = context.Users.SingleOrDefault(u => u.Username == userInput);
  4. if (user != null)
  5. {
  6. // Process the user data
  7. }
  8. }