Обмен технологиями

Метод C# для проверки того, содержит ли входной оператор вторжение SQL

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Чтобы проверить, содержат ли введенные пользователем данные инструкции атаки SQL-инъекцией в C# WinForms, вы можете использовать различные методы для обнаружения и предотвращения SQL-инъекций. Вот несколько распространенных методов:

1. Используйте параметризованные запросы

Параметризованные запросы — это лучший способ предотвратить SQL-инъекцию, передавая пользовательский ввод в SQL-запрос в качестве параметров, а не встраивая его напрямую в строку SQL. Это гарантирует, что ввод пользователя не будет интерпретироваться как код SQL.

  1. using System.Data.SqlClient;
  2.  
  3. public void ExecuteQuery(string userInput)
  4. {
  5.     string connectionString = "数据库连接字符串";
  6.     string query = "SELECT * FROM Users WHERE Username = @Username";
  7.  
  8.     using (SqlConnection connection = new SqlConnection(connectionString))
  9.     using (SqlCommand command = new SqlCommand(query, connection))
  10.     {
  11.         command.Parameters.AddWithValue("@Username", userInput);
  12.  
  13.         connection.Open();
  14.         SqlDataReader reader = command.ExecuteReader();
  15.         while (reader.Read())
  16.         {
  17.             // Process the data
  18.         }
  19.     }
  20. }

2. Проверьте ввод пользователя на наличие опасных символов.

Общие символы и ключевые слова SQL-инъекций, такие как одинарные кавычки ('),Двойные кавычки ("), точка с запятой (;), символ комментария (--), а также общие ключевые слова SQL, такие как SELECTINSERTDELETEUPDATEDROP и т. д).

  1. public bool IsSqlInjection(string input)
  2. {
  3.     string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };
  4.     foreach (string item in sqlCheckList)
  5.     {
  6.         if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)
  7.         {
  8.             return true;
  9.         }
  10.     }
  11.     return false;
  12. }
  13.  
  14.  
  15. string userInput = txtUserInput.Text;
  16. if (IsSqlInjection(userInput))
  17. {
  18.     MessageBox.Show("输入包含不安全的字符,请重新输入。");
  19. }
  20. else
  21. {
  22.     // 继续处理用户输入
  23.     ExecuteQuery(userInput);
  24. }

3. Используйте структуру ORM

Использование платформы ORM (реляционного сопоставления объектов), такой как Entity Framework, может значительно снизить риск внедрения SQL, поскольку платформа ORM автоматически обрабатывает параметризованные запросы.

  1. using (var context = new YourDbContext())
  2. {
  3.     var user = context.Users.SingleOrDefault(u => u.Username == userInput);
  4.     if (user != null)
  5.     {
  6.         // Process the user data
  7.     }
  8. }

Личный профиль

Он посвятил себя исследованию технологий более 30 лет и владеет различными языками, такими как Java, Linux, Javascript, php, css и т. д. Он внес большой вклад в область открытого исходного кода. Станция документации для разработчиков, где можно поделиться некоторыми проблемами в разработке технологий для дальнейшего использования. Все ознакомьтесь.

моя контактная информация

Почта