Teknologian jakaminen

C#-menetelmä tarkistaa, sisältääkö syöttökäsky SQL-tunkeutumista

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Voit tarkistaa, sisältävätkö käyttäjän syöttämät tiedot SQL-injektion hyökkäyskäskyjä C# WinFormsissa, käyttämällä useita menetelmiä SQL-injektion havaitsemiseen ja estämiseen. Tässä on muutamia yleisiä menetelmiä:

1. Käytä parametroituja kyselyitä

Parametrisoidut kyselyt ovat paras käytäntö SQL-lisäyksen estämiseen välittämällä käyttäjän syöte parametreina SQL-kyselyyn sen sijaan, että se upotetaan suoraan SQL-merkkijonoon. Tämä varmistaa, että käyttäjän syötettä ei tulkita SQL-koodiksi.

  1. using System.Data.SqlClient;
  2.  
  3. public void ExecuteQuery(string userInput)
  4. {
  5.     string connectionString = "数据库连接字符串";
  6.     string query = "SELECT * FROM Users WHERE Username = @Username";
  7.  
  8.     using (SqlConnection connection = new SqlConnection(connectionString))
  9.     using (SqlCommand command = new SqlCommand(query, connection))
  10.     {
  11.         command.Parameters.AddWithValue("@Username", userInput);
  12.  
  13.         connection.Open();
  14.         SqlDataReader reader = command.ExecuteReader();
  15.         while (reader.Read())
  16.         {
  17.             // Process the data
  18.         }
  19.     }
  20. }

2. Tarkista käyttäjän syötteet vaarallisten merkkien varalta

Yleiset SQL-injektiomerkit ja avainsanat, kuten yksittäiset lainausmerkit ('),Kaksoislainausmerkit ("), puolipiste (;), kommenttisymboli (--), sekä yleisiä SQL-avainsanoja, kuten SELECTINSERTDELETEUPDATEDROP jne).

  1. public bool IsSqlInjection(string input)
  2. {
  3.     string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };
  4.     foreach (string item in sqlCheckList)
  5.     {
  6.         if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)
  7.         {
  8.             return true;
  9.         }
  10.     }
  11.     return false;
  12. }
  13.  
  14.  
  15. string userInput = txtUserInput.Text;
  16. if (IsSqlInjection(userInput))
  17. {
  18.     MessageBox.Show("输入包含不安全的字符,请重新输入。");
  19. }
  20. else
  21. {
  22.     // 继续处理用户输入
  23.     ExecuteQuery(userInput);
  24. }

3. Käytä ORM-kehystä

ORM-kehyksen (Object Relational Mapping) käyttäminen, kuten Entity Framework, voi vähentää huomattavasti SQL-lisäyksen riskiä, ​​koska ORM-kehys käsittelee automaattisesti parametroidut kyselyt.

  1. using (var context = new YourDbContext())
  2. {
  3.     var user = context.Users.SingleOrDefault(u => u.Username == userInput);
  4.     if (user != null)
  5.     {
  6.         // Process the user data
  7.     }
  8. }

Henkilökohtainen profiili

Hän on omistautunut teknologian tutkimukselle yli 30 vuoden ajan ja hallitsee useita kieliä, kuten java, linux, javascript, php, css jne. Hän on tehnyt paljon työtä avoimen lähdekoodin alalla Kehittäjän dokumentaatioasema jakaaksesi joitain teknologian kehittämisen ongelmia tulevaa käyttöä varten

yhteystietoni

Mail