Berbagi teknologi

Metode C# untuk memverifikasi apakah pernyataan input berisi intrusi SQL

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Untuk memverifikasi apakah data yang dimasukkan pengguna berisi pernyataan serangan injeksi SQL di C# WinForms, Anda dapat menggunakan berbagai metode untuk mendeteksi dan mencegah injeksi SQL. Berikut beberapa metode umum:

1. Gunakan kueri berparameter

Kueri berparameter adalah praktik terbaik untuk mencegah injeksi SQL dengan meneruskan input pengguna ke kueri SQL sebagai parameter, bukan langsung menyematkannya ke dalam string SQL. Hal ini memastikan bahwa input pengguna tidak ditafsirkan sebagai kode SQL.

  1. using System.Data.SqlClient;
  2.  
  3. public void ExecuteQuery(string userInput)
  4. {
  5.     string connectionString = "数据库连接字符串";
  6.     string query = "SELECT * FROM Users WHERE Username = @Username";
  7.  
  8.     using (SqlConnection connection = new SqlConnection(connectionString))
  9.     using (SqlCommand command = new SqlCommand(query, connection))
  10.     {
  11.         command.Parameters.AddWithValue("@Username", userInput);
  12.  
  13.         connection.Open();
  14.         SqlDataReader reader = command.ExecuteReader();
  15.         while (reader.Read())
  16.         {
  17.             // Process the data
  18.         }
  19.     }
  20. }

2. Periksa input pengguna untuk karakter berbahaya

Karakter injeksi SQL umum dan kata kunci seperti tanda kutip tunggal ('), tanda kutip ganda ("), titik koma (;), simbol komentar (--), serta kata kunci SQL umum seperti SELECTINSERTDELETEUPDATEDROP dll).

  1. public bool IsSqlInjection(string input)
  2. {
  3.     string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };
  4.     foreach (string item in sqlCheckList)
  5.     {
  6.         if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)
  7.         {
  8.             return true;
  9.         }
  10.     }
  11.     return false;
  12. }
  13.  
  14.  
  15. string userInput = txtUserInput.Text;
  16. if (IsSqlInjection(userInput))
  17. {
  18.     MessageBox.Show("输入包含不安全的字符,请重新输入。");
  19. }
  20. else
  21. {
  22.     // 继续处理用户输入
  23.     ExecuteQuery(userInput);
  24. }

3. Gunakan kerangka ORM

Menggunakan kerangka ORM (Pemetaan Relasional Objek) seperti Entity Framework dapat sangat mengurangi risiko injeksi SQL karena kerangka ORM secara otomatis menangani kueri berparameter.

  1. using (var context = new YourDbContext())
  2. {
  3.     var user = context.Users.SingleOrDefault(u => u.Username == userInput);
  4.     if (user != null)
  5.     {
  6.         // Process the user data
  7.     }
  8. }

Profil pribadi

Ia telah mengabdikan dirinya untuk meneliti teknologi selama lebih dari 30 tahun, dan mahir dalam berbagai bahasa seperti java, linux, javascript, php, css, dll. Ia telah memberikan banyak kontribusi di bidang open source stasiun dokumentasi pengembang untuk berbagi beberapa masalah dalam pengembangan teknologi untuk referensi di masa mendatang. Semua orang memeriksanya

informasi kontak saya

Surat