将 SQL 查询限制为 SELECT 操作 ASP.net C#

Question

我们正在为用户创建一个用户界面
1) 在数据库上运行 Select 语句（查询可以包括 Join 或子查询）
2) 同屏查看结果

现在我们正在检查输入字符串是否具有以下任何关键字 INSERT/UPDATE/DELETE/TRUNCATE/CREATE/ALTER/DROP/GRANT/REVOKE 语句，并在只有 SELECT 权限的 SQL 用户下执行查询数据库。

在只读用户下执行查询之前，是否有任何其他方法可以添加额外的保护层来验证查询？

谢谢

Answer 1

1. 确保参数用于为选择提供输入 语句（避免 SQL 注入）。虽然只有 SELECT 的用户 权限无论如何都无法执行，但这也将 确保输入是合理的。
2. 确保所有与数据库相关的 错误不会直接输出到屏幕上

Answer 2

我假设并非所有应用程序用户也是有效的数据库用户。

您需要创建 2 个数据库登录。一个人应该只拥有db_datareader 应该用于运行查询的权限。在您的代码中处理 SqlException 以查看最终用户是否尝试执行除选择之外的另一条语句。

应该有另一个数据库登录，应用程序代码应该使用它来执行任何其他 DML 操作。

Answer 3

与其让人们编写他们想要的任何命令作为命令，并且只检查命令中您认为可能有害的某些单词，不如创建一个只能具有一个操作（选择）的“查询生成器”，来自t 个表（其中 t 是可用表的数量），以及所需的列。您可以添加一些带有可用操作（根据您的情况选择）、可用表和可用列的下拉列表。这样您就可以使用给定的输入自己生成查询，而无需让用户直接将命令写入您的服务器。