SQL Injection Filterverfahren für ASP.NET
-
10-07-2019 - |
Frage
Ich habe Felder bekam die Freitext und ermöglichen nahezu jede Kombination von Zahlen / Symbole sind. Was ist der beste Weg, diese zu validieren SQL Injection zu verhindern? Kann ich ein einfaches von Strichmarkierungen ersetzen? Gibt es eine Methode gibt, kann ich anschließen zu benutzen?
Lösung
Verwenden Sie einfach parametrisierte Abfragen! Schauen Sie sich diesen Artikel hier: http://www.functionx.com/aspnet/sqlserver/ parameterized.htm
Andere Tipps
Es gibt verschiedene Methoden, die hier beschrieben: How To: Von SQL-Injection in ASP.NET Protect
Zitat:
Gegenmaßnahmen umfassen eine Liste der zulässigen Zeichen mit Eingang zu beschränken, mit parametrisierte SQL für den Datenzugriff, und mit einem mindestens privilegierten Konto, das über Berechtigungen in der Datenbank eingeschränkt hat. Verwendung von gespeicherten Prozeduren mit parametrisierte SQL ist die empfohlene Vorgehensweise, da SQL Parameter Typ sicher ist. Typsichere SQL-Parameter können auch mit dynamischem SQL verwendet werden. In Situationen, in denen parametrisierte SQL nicht verwendet werden kann, sollen Techniken Charakter zu entkommen.
Validierung Kontrollen können helfen, obwohl sie serverseitig ausgeführt werden, nicht Client-Seite. ASP.NET hat einen gewissen Schutz in auch gebaut haben, aber ich würde auf sie allein nicht verlassen.