防止SQL注入
本文关键字:注入 SQL 防止 | 更新日期: 2023-09-27 18:09:28
我试图防止sql注入:像1=1,等等。第一次这么做,我不确定我做得对不对?
下面是代码:连接字符串在那里,我只是为了这个问题的目的而删除它。
public void btnSubmit_Click(object sender, EventArgs e)
{
String login = txtUser.Text;
String pass = txtPass.Text;
string connString = "";
SqlConnection conn = new SqlConnection(connString);
conn.Open();
SqlCommand cmd = new SqlCommand("Select Users,Pass from logintable where Users='" + txtUser.Text + "' and Pass='" + txtPass.Text + "'", conn);
cmd.Parameters.Add("@Users", SqlDbType.VarChar, 20).Value = login;
SqlDataReader dr=cmd.ExecuteReader();
if(dr.Read())
{
new Login().Show();
}
else
{
lblFail.Text="Invalid username or password";
}
}
直接将值传递给查询。它会导致Sql注入。因此,您需要使用Sql参数来避免它。我给你一个主意
SqlCommand cmd = new SqlCommand("Select Users,Pass from logintable where Users=@user and Pass=@password", conn);
cmd.Parameters.AddWithValue("@user", txtUserName.Text);
cmd.Parameters.AddWithValue("@password", txtPassword.Text);
reader = cmd.ExecuteReader();
注意在:
中使用字符串连接"Select Users,Pass from logintable where Users='" + txtUser.Text + "' and Pass='" + txtPass.Text + "'"
这就是使你的代码容易被注入的原因。您需要参数占位符:
"Select Users, Pass from logintable where Users=@Users and Pass=@Pass", conn);
您可以在这里找到如何正确使用参数的完整示例。
不,这是完全错误的。你仍然可以通过txtUser.Text和txtPass.Text注入,因为你使用的是字符串连接。
您需要在查询中为这两个值使用参数,然后在执行查询之前将两个.Text属性绑定到查询上。
SqlCommand cmd = new SqlCommand("Select Users,Pass from logintable where Users=@username and Pass=@password", conn);
cmd.Parameters.AddWithValue("@username", txtUser.Text);
cmd.Parameters.AddWithValue("@password", txtPass.Text);
您正在使用Command对象,但您没有参数化值,这违背了其目的,您可以在命令对象上使用AddWithValue()方法来定义其参数,
string query = "Select Users,Pass from logintable where Users=@user and Pass=@pass";
SqlCommand cmd = new SqlCommand(query, conn);
cmd.Parameters.AddWithValue("@user", txtUser.Text);
cmd.Parameters.AddWithValue("@pass", txtPass.Text);
另外,你可以从Command对象中使用ExecuteScalar(),而不是使用DataReader对象来获取结果上的单个值。
试试下面的代码片段:
string connStr = "connection string here";
string sqlStatement = @"SELECT COUNT(*) TotalCount
FROM logintable
WHERE Users=@user and Pass=@pass";
using (SqlConnection conn = new SqlConnection(connStr))
{
using(SqlCommand comm = new SqlCommand())
{
comm.Connection = conn;
comm.CommandText = sqlStatement;
comm.CommandType = CommandType.Text;
comm.Parameters.AddWithValue("@user", txtUser.Text);
comm.Parameters.AddWithValue("@pass", txtPass.Text);
try
{
conn.Open();
int _result = Convert.ToInt32(comm.ExecuteScalar());
if (_result > 0)
{
new Login().Show();
}
}
catch(SqlException e)
{
// do something with the exception
// do not hide it
// e.Message.ToString()
}
}
}
正确编码
- 使用
using语句来正确处理对象 - 使用
try-catch块来正确处理对象
永远不要使用字符串连接构造SQL语句,始终使用参数化查询。请试试这个代码:
SqlCommand cmd = new SqlCommand("Select Users, Pass from logintable where Users= @Users AND Pass=@Pass", conn);
cmd.Parameters.Add("@Users", SqlDbType.VarChar, 20);
cmd.Parameters.Add("@Pass", SqlDbType.VarChar, 20);
cmd.Parameters["@Users"].Value = login;
cmd.Parameters["@Pass"].Value = pass;
conn.Open();
SqlDataReader reader = cmd.ExecuteReader();
if (reader.Read())
{
new Login().show();
}
else
{
lblFail.Text = "Invalid username and password";
}
reader.Close();
reader.Dispose();
conn.Close();
conn.Dispose();
希望这对你有帮助。您应该在try-catch块中使用上述代码,在finally块中使用Close/Dispose调用。