SqlParameter防止SQL的注入

快来打我* 2022-08-13 14:39 219阅读 0赞

在第一次做机房收费的时候就说到了SQL的注入问题，当时，只知道有这么一个问题，也简单地查了一下，但对于当时的我来说，简直是高大上呀！一查SQL注入，好多方法，好麻烦！果断地挂起来！！！  
   其实，最开始学习SqlParameter是在机房重构里面，只不过当时不知道为什么这么用，只知道它是简单的传送一些参数罢了！  
   在牛腩中，才开始真真正正地将Sqlparameter和SQL注入连在一起！

# SQL如何注入 #

一说到SQL注入，大家肯定会想到的是单引号，用其来截断字符串，经典的注入语句是' or 1=1--。SQL注入就是利用了传统的构造SQL语句，没有将执行语句和控制语句分开（[结构化查询语句的六部分][Link 1]）。  
示例：  
   代码中写入的SQL语句：string sql="insert into category(name) values('"+caName+"')";  
   在用户界面上如果输入：娱乐新闻')delete category where id=3--  
   SQL语句传入数据库中会变成：insert into category(name) values('娱乐新闻') delete category where id=3--')  
\--表示SQL语句中的注释  
   这样就会在数据库中进行两个操作，一个是插入一条新闻，另一个是删除一条新闻（如果存在id=3的新闻）。而本意是只想在数据库中插入一条数据。这样就会改变数据库中的数据，导致了系统的安全性降低。

# SqlParameter是如何防止SQL注入 #

最开始，我已经提到了Sqlparameter是具有向SQl语句中传递参数的作用。防止SQL注入就是利用了这种Sqlparameter的这个作用。  
示例：

/// <summary>
            /// 增加类别
            /// </summary>
            /// <param name="caName">新闻类别名称</param>
            /// <returns></returns>
            public bool Insert(string caName)
            {
                bool flag = false;
                string cmdText = "insert into category(name) values(@caName)"; //SQL语句
                SqlParameter[] paras = new SqlParameter[]{
                    new SqlParameter ("@caName",caName )
                };
                int res=sqlhelper.ExecuteNonQuery(cmdText ,paras,CommandType.Text );
                if (res>0)
                {
                    flag = true;
                }
                return flag;
            }

利用这种传参数的方法，在客户端输入：娱乐新闻') delete category where id=3--，这一段文字将会被看做一个字符串传给@caName，直接将其插入数据库中。单引号不会再其作用。

# [SQL注入之扩展][SQL] #

定义：SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。  
   SQL注入的产生原因通常表现在以下几方面：①不当的类型处理；②不安全的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不合适；⑥多个提交处理不当。  
   SQL注入之防护：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双"-"进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

进入大数据时代的同时，数据的保护也是一个很严峻的问题！

[Link 1]: http://baike.so.com/doc/1013282.html
[SQL]: http://baike.so.com/doc/6793375.html