0
asp.netからSQLインジェクションを避ける最善の方法は何ですか?同時に、私はユーザーに特別なシンボルを自由に入力したいと思っています。asp.netからSQLインジェクションを処理する方法
編集
私は、エンタープライズライブラリとストアドプロシージャ
A
答えて
1
SqlCommand.Prepare Methodをbobby-tablesで述べたように使用してください。
private static void SqlCommandPrepareEx(string connectionString)
{
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
SqlCommand command = new SqlCommand(null, connection);
// Create and prepare an SQL statement.
command.CommandText =
"INSERT INTO Region (RegionID, RegionDescription) " +
"VALUES (@id, @desc)";
SqlParameter idParam = new SqlParameter("@id", SqlDbType.Int, 0);
SqlParameter descParam =
new SqlParameter("@desc", SqlDbType.Text, 100);
idParam.Value = 20;
descParam.Value = "First Region";
command.Parameters.Add(idParam);
command.Parameters.Add(descParam);
// Call Prepare after setting the Commandtext and Parameters.
command.Prepare();
command.ExecuteNonQuery();
// Change parameter values and call ExecuteNonQuery.
command.Parameters[0].Value = 21;
command.Parameters[1].Value = "Second Region";
command.ExecuteNonQuery();
}
}
2
パラメータ化クエリを使用しています、任意のparametrisedクエリを使用していません。クエリがあればどこでも使用できます。ユーザーは特に気に入ったシンボルを入力することができます。
あなたはORMを使用している場合、これはかなりあなたのために処理されますが、そうでない場合は、何をする必要があると、このようなものです:
comm.CommandText = "insert into MyTable (col1, col2) values (@col1, @col2)";
comm.Parameters.AddWithValue("@col1", 123);
comm.Parameters.AddWithValue("@col2", "; drop table whatever; --");
comm.ExecuteNonQuery();
クエリが100%であること広告中毒を起こしても安全です。 .NETがあなたのためのパラメータを処理するだけで、あなたはすべて設定されます。
また、varcharではなく、nvarchar(Unicode)の列を使用していることを確認してください。ユーザーがANSI文字セットの外部にシンボルを挿入する場合は、
関連する問題
- 1. SQLインジェクションからサイトを防ぐ方法
- 2. asp.net - SQLインジェクション攻撃後のクリーンアップ方法
- 3. Castle.Windsor、ASP.NET MVC、インジェクションのNull解決を処理する
- 4. HQL order by節でSQLインジェクションを処理します。
- 5. 入力からのSQLインジェクション
- 6. asp.netリピータの最後の反復処理を別の方法で処理する
- 7. ASP.NETで未処理のスレッド例外を処理する方法は?
- 8. ASP.NETページのMSOutlookからのIMAPリクエストを処理する方法は?
- 9. ASP.NET、C#:ショッピングカートの処理方法問題
- 10. 非UIスレッドから非同期SQLクエリを処理する方法
- 11. SQL文を処理するバッチファイルを作成する方法
- 12. SQLインジェクションからSQL Serverストアドプロシージャを安全にする
- 13. ASP.NET MVCアプリケーションのメンバーシップを処理する方法は?
- 14. ASP.NET MVCで空のURLを処理する方法
- 15. ASP.NET MVC - アプリケーションのグローバル設定を処理する方法
- 16. ASP.Net MVCでドロップダウンリストSelectedIndexchangedイベントを処理する方法
- 17. Asp.NetでCreateUserWizardの手順を処理する方法?
- 18. ASP.NETリクエストのライフサイクル中に例外を処理する方法
- 19. asp.netでバッチ処理をスケジュールする方法
- 20. asp.netの一意の識別子パラメータを処理する方法
- 21. ASP.NETで* .txtリクエストを処理する方法
- 22. ASP.NET MVCシステムエラーを処理する正しい方法
- 23. ASP.NET MVC 3で接続タイムアウトを処理する方法は?
- 24. ASP.NET MVCでセッションデータを処理する方法
- 25. forloopをasp.netバリデーターで繰り返し処理する方法
- 26. asp.netのユーザーコントロールイベントを処理する方法は?
- 27. SQLエージェントのジョブエラーを処理する方法は?
- 28. SQL Server 2008 R2でエスケープ文字を処理する方法
- 29. SQLパラメータを処理する最良の方法は?
- 30. .net SQL例外処理 - spパラメータ/値を取得する方法
+1また、ストアドプロシージャを使用しているときでも私が従う必要がある良い練習を提案することはできますか? – Zerotoinfinity
ストアドプロシージャを呼び出す場合は、特に明記したように 'comm.Prepare()'を使いたいでしょうが、それ以外の場合は、注入を避けるのがベストプラクティスです。 – Eric