这是SQL查询,注入安全
本文关键字:注入 安全 查询 SQL 这是 | 更新日期: 2023-09-27 17:54:27
我认为初始代码是好的:
SqlCommand param = new SqlCommand();
SqlGeometry point = SqlGeometry.Point(center_lat,center_lng,0);
SqlGeometry poly = SqlGeometry.STPolyFromText(new SqlChars(new SqlString(polygon)),0);
param.CommandText = "INSERT INTO Circle (Center_Point, Circle_Data) VALUES (@point,@poly);";
param.Parameters.Add(new SqlParameter("@point", SqlDbType.Udt));
param.Parameters.Add(new SqlParameter("@poly", SqlDbType.Udt));
param.Parameters["@point"].UdtTypeName = "geometry";
param.Parameters["@poly"].UdtTypeName = "geometry";
param.Parameters["@point"].Value = point;
param.Parameters["@poly"].Value = poly;
然而,我意识到当创建polygon字符串时可能会出现问题。
在javascript -我创建它像这样:
var Circle_Data = "POLYGON ((";
for (var x = 0; x < pointsToSql.length; x++) { // formatting = 0 0, 150 0, 150 50 etc
if (x == 360) { Circle_Data += pointsToSql[x].lat.toString() + " " + pointsToSql[x].lng.toString() + "))"; }
else { Circle_Data += pointsToSql[x].lat.toString() + " " + pointsToSql[x].lng.toString() + ","; }
}
然后传递给c#。这安全吗?即使在查询中发生了参数化?
使用此参数,您将从SQL注入中保存,如果在POLYGON字符串中注入一些SQL,将在SQL Server端出错。
例如,如果你有:
POLYGON(12.33 12.55,13.55; DROP TABLE students;)
SQL server将尝试根据传入的字符串构造一个几何类型,这样做将失败。