Compartir tecnología

Método C# para verificar si la declaración de entrada contiene una intrusión SQL

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Para verificar si los datos ingresados ​​por el usuario contienen declaraciones de ataque de inyección SQL en C# WinForms, puede utilizar una variedad de métodos para detectar y prevenir la inyección SQL. Aquí hay algunos métodos comunes:

1. Utilice consultas parametrizadas

Las consultas parametrizadas son la mejor práctica para evitar la inyección de SQL al pasar la entrada del usuario como parámetros a la consulta SQL, en lugar de incrustarla directamente en la cadena SQL. Esto garantiza que la entrada del usuario no se interprete como código SQL.

  1. using System.Data.SqlClient;
  2.  
  3. public void ExecuteQuery(string userInput)
  4. {
  5.     string connectionString = "数据库连接字符串";
  6.     string query = "SELECT * FROM Users WHERE Username = @Username";
  7.  
  8.     using (SqlConnection connection = new SqlConnection(connectionString))
  9.     using (SqlCommand command = new SqlCommand(query, connection))
  10.     {
  11.         command.Parameters.AddWithValue("@Username", userInput);
  12.  
  13.         connection.Open();
  14.         SqlDataReader reader = command.ExecuteReader();
  15.         while (reader.Read())
  16.         {
  17.             // Process the data
  18.         }
  19.     }
  20. }

2. Verifique la entrada del usuario en busca de caracteres peligrosos.

Caracteres y palabras clave comunes de inyección SQL, como comillas simples ('),Doble comillas ("), punto y coma (;), símbolo de comentario (--), así como palabras clave SQL comunes como SELECTINSERTDELETEUPDATEDROP etc).

  1. public bool IsSqlInjection(string input)
  2. {
  3.     string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };
  4.     foreach (string item in sqlCheckList)
  5.     {
  6.         if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)
  7.         {
  8.             return true;
  9.         }
  10.     }
  11.     return false;
  12. }
  13.  
  14.  
  15. string userInput = txtUserInput.Text;
  16. if (IsSqlInjection(userInput))
  17. {
  18.     MessageBox.Show("输入包含不安全的字符,请重新输入。");
  19. }
  20. else
  21. {
  22.     // 继续处理用户输入
  23.     ExecuteQuery(userInput);
  24. }

3. Utilice el marco ORM

El uso de un marco ORM (Mapeo relacional de objetos) como Entity Framework puede reducir en gran medida el riesgo de inyección SQL porque el marco ORM maneja automáticamente consultas parametrizadas.

  1. using (var context = new YourDbContext())
  2. {
  3.     var user = context.Users.SingleOrDefault(u => u.Username == userInput);
  4.     if (user != null)
  5.     {
  6.         // Process the user data
  7.     }
  8. }

Perfil personal

Se ha dedicado a la investigación de tecnología durante más de 30 años y domina varios lenguajes como java, linux, javascript, php, css, etc. Ha realizado muchas contribuciones en el campo del código abierto. Estación de documentación para desarrolladores para compartir algunos problemas en el desarrollo de tecnología para referencia futura.

Mi informacion de contacto

Correo