Compartilhamento de tecnologia

Método C# para verificar se a instrução de entrada contém intrusão SQL

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Para verificar se os dados inseridos pelo usuário contêm instruções de ataque de injeção de SQL em C# WinForms, você pode usar vários métodos para detectar e impedir a injeção de SQL. Aqui estão alguns métodos comuns:

1. Use consultas parametrizadas

Consultas parametrizadas são a prática recomendada para evitar a injeção de SQL, passando a entrada do usuário como parâmetros para a consulta SQL, em vez de incorporá-la diretamente na string SQL. Isso garante que a entrada do usuário não seja interpretada como código SQL.

  1. using System.Data.SqlClient;
  2.  
  3. public void ExecuteQuery(string userInput)
  4. {
  5.     string connectionString = "数据库连接字符串";
  6.     string query = "SELECT * FROM Users WHERE Username = @Username";
  7.  
  8.     using (SqlConnection connection = new SqlConnection(connectionString))
  9.     using (SqlCommand command = new SqlCommand(query, connection))
  10.     {
  11.         command.Parameters.AddWithValue("@Username", userInput);
  12.  
  13.         connection.Open();
  14.         SqlDataReader reader = command.ExecuteReader();
  15.         while (reader.Read())
  16.         {
  17.             // Process the data
  18.         }
  19.     }
  20. }

2. Verifique a entrada do usuário em busca de caracteres perigosos

Caracteres e palavras-chave comuns de injeção de SQL, como aspas simples ('),Aspas duplas ("), ponto e vírgula (;), símbolo de comentário (--), bem como palavras-chave SQL comuns, como SELECTINSERTDELETEUPDATEDROP etc).

  1. public bool IsSqlInjection(string input)
  2. {
  3.     string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };
  4.     foreach (string item in sqlCheckList)
  5.     {
  6.         if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)
  7.         {
  8.             return true;
  9.         }
  10.     }
  11.     return false;
  12. }
  13.  
  14.  
  15. string userInput = txtUserInput.Text;
  16. if (IsSqlInjection(userInput))
  17. {
  18.     MessageBox.Show("输入包含不安全的字符,请重新输入。");
  19. }
  20. else
  21. {
  22.     // 继续处理用户输入
  23.     ExecuteQuery(userInput);
  24. }

3. Use a estrutura ORM

Usar uma estrutura ORM (Mapeamento Relacional de Objetos), como o Entity Framework, pode reduzir bastante o risco de injeção de SQL porque a estrutura ORM lida automaticamente com consultas parametrizadas.

  1. using (var context = new YourDbContext())
  2. {
  3.     var user = context.Users.SingleOrDefault(u => u.Username == userInput);
  4.     if (user != null)
  5.     {
  6.         // Process the user data
  7.     }
  8. }

Perfil pessoal

Ele se dedica à pesquisa de tecnologia há mais de 30 anos e é proficiente em diversas linguagens como java, linux, javascript, php, css, etc. estação de documentação do desenvolvedor para compartilhar alguns problemas no desenvolvimento de tecnologia para referência futura.

minhas informações de contato

Correspondência