在 ASP.NET c# 中设置 sqldatasource 选择语句时防止 SQL 注入

Question

我有一个关于在我的应用程序中防止 SQL 注入的问题。

我的 Web 应用程序的两个不同功能使用文本框，用户可以使用它们从 MSSQL 数据库中搜索项目。此信息显示在 GridView 中。

我使用这种方法创建查询：

sqldatasource.SelectCommand = "SELECT x from x where this_id LIKE '%" + txtbox.Text + "%' ORDER BY x ASC";

显然，接受用户输入并将其直接输入到这样的查询中会打开基本的 SQL 注入。请有人解释一下我可以如何参数化它以防止我的应用程序中的 SQL 注入？

提前致谢

Answer 1

sqldatasource.SelectCommand = @"SELECT x from x where this_id LIKE @inText ORDER BY x ASC";

cmd.Parameters.AddWithValue("@inText", "%" + txtbox.Text + "%");

请注意，如果您以通配符开头的 LIKE 会很痛苦。一张大桌子会伤心，慢慢走。

Answer 2

一种（不是很好，但总比没有好）的方法是对 txtBox.Text 的内容进行清理，然后使用清理后的结果。

sqlsource.SelectCommand = "SELECT x from x where this_id LIKE '%" + SanitizedString(txtBox.Text) + "%';";

// ... codes ...

private string SanitizedString(string given)
{
   string sanitized = given.Replace(";", string.Empty);
   sanitized = sanitized.Replace("--", string.Empty);
   // ... ad nauseum, conditions galore ...

   return sanitized;
}

...但是，这非常耗费人力。

要做的事情是以存储过程的形式使用绑定变量。据我所知，您可以绑定您的过滤器 txtbox.Text 条件，然后将其传入。

在 db 上的查询会很简单，例如：

SELECT x from X where this_id LIKE :filter ORDER BY x ASC

要调用它，您需要研究 MSSQL 如何与存储过程通信。

绑定变量使您的代码完全防 SQL 注入。 爱绑定变量，因为他们会爱你。而邪恶的 hax0rs 不会。

Answer 3

感谢您的回答。最后，我在 MSDN 网站上使用了这个参数化查询：

    GetSubInfo.SelectParameters.Add("xparam", txtbox.Text);
    GetSubInfo.SelectCommand = "SELECT x from x where x_id LIKE @xparam ORDER BY x ASC";

这与 Hogan 的答案非常相似，只是语法略有不同。希望这会有所帮助！