c# 传参的方式能完全防止sql注入吗?
首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,通过参数化查询解决sql注入漏洞的实例。
所谓的参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成.
SQL 引擎的处理流程,大致为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
参数化查询主要做了这些事情:
1:参数过滤,对传入值进行了处理,按字符语义来处理。
2:执行计划重用
为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,存储过程也是一样的道理,因为可以重用执行计划。
c# 传参的方式能够完全防止sql注入,具体步骤如下:
/*
* C#防止SQL注入式攻击
* Author:ICE FROG
* TIME:2016/4/20
*/
/*
* SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击
* 那么在执行语句的where语句后面的条件就永远为true
*
* C#在数据库的这一块漏洞上添加了一个类来处理这个问题:
* SqlParameter - using System.Data.SqlClient;
* 原理就是让where条件后面字段不和整个执行语句化为一个字符串,而是以通过一个参数的形式传递进去 。
* 这样可以达到两个效果:
* 第一就是避免注入式攻击
* 第二就是防止非法字符导致软件崩溃
* 那么我们需要把原来的sql执行语句比如:string.format(“select * from user where id=’{0}’ and pwd = ‘{1}’”,id,pwd) 。
* 更改为: “select * from user where id = @id and pwd = @pwd”;
* 我们使用了@名 代替了占位符,而这个@名 原先是不存在不需要声明的。只需要在后面使用上面那么类声明一下就ok
如果不能够重用执行计划,那么就有SQL注入的风险,因为SQL的语意有可能会变化,所表达的查询就可能变化。
首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,通过参数化查询解决sql注入漏洞的实例。
所谓的参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成.
SQL 引擎的处理流程,大致为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
参数化查询主要做了这些事情:
1:参数过滤,对传入值进行了处理,按字符语义来处理。
2:执行计划重用
为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,存储过程也是一样的道理,因为可以重用执行计划。
参数化sql是直接生成sql数据库查询底层的参数,而不是通过编译器和解释器根据sql语句自动分词,确定参数的值(这样容易被骗)。
比如:select 姓名 from 基本信息 where 学号='18',客户构造sql语句:select 学号 from 基本信息 where 学号='' or '1'='1',sql数据库系统编译解释为:
1.这是一条select语句;
2。操作的表为“基本信息”;
3。返回字段为“姓名”;
4。条件为学号='' or '1'='1'
5。学号的参数为''。
这样就被骗了。
而采用参数化方法,select 学号 from 基本信息 where 学号=@studentID,参数@studentID=' or '1'='
最后编译解释为select 学号 from 基本信息 where 学号="' or '1'='"
相当于在参数@studentID的值的外面加上了一个看不见的"",所以无论对方构造的如何巧妙,都无法注入。
