技術共有

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

C# WinForms でユーザーが入力したデータに SQL インジェクション攻撃ステートメントが含まれているかどうかを確認するには、さまざまな方法を使用して SQL インジェクションを検出および防止できます。一般的な方法をいくつか示します。

1. パラメータ化されたクエリを使用する

パラメーター化されたクエリは、ユーザー入力を SQL 文字列に直接埋め込むのではなく、パラメーターとして SQL クエリに渡すことで、SQL インジェクションを防ぐためのベスト プラクティスです。これにより、ユーザー入力が SQL コードとして解釈されなくなります。

using System.Data.SqlClient;
 
public void ExecuteQuery(string userInput)
{
    string connectionString = "数据库连接字符串";
    string query = "SELECT * FROM Users WHERE Username = @Username";
 
    using (SqlConnection connection = new SqlConnection(connectionString))
    using (SqlCommand command = new SqlCommand(query, connection))
    {
        command.Parameters.AddWithValue("@Username", userInput);
 
        connection.Open();
        SqlDataReader reader = command.ExecuteReader();
        while (reader.Read())
        {
            // Process the data
        }
    }
}

2. ユーザー入力に危険な文字がないかチェックする

一般的な SQL インジェクション文字と一重引用符 (')、二重引用符 (")、セミコロン(;)、コメント記号(--)、および次のような一般的な SQL キーワード SELECT、INSERT、DELETE、UPDATE、DROP 等）。

public bool IsSqlInjection(string input)
{
    string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };
    foreach (string item in sqlCheckList)
    {
        if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)
        {
            return true;
        }
    }
    return false;
}
 
 
string userInput = txtUserInput.Text;
if (IsSqlInjection(userInput))
{
    MessageBox.Show("输入包含不安全的字符，请重新输入。");
}
else
{
    // 继续处理用户输入
    ExecuteQuery(userInput);
}

3. ORMフレームワークを使用する

Entity Framework などの ORM (オブジェクト リレーショナル マッピング) フレームワークを使用すると、ORM フレームワークがパラメーター化されたクエリを自動的に処理するため、SQL インジェクションのリスクを大幅に軽減できます。

using (var context = new YourDbContext())
{
    var user = context.Users.SingleOrDefault(u => u.Username == userInput);
    if (user != null)
    {
        // Process the user data
    }
}