Sql注入問題

Question

我有HttpHandler頁面，我用它來做一些包括使用數據庫的東西。我需要能夠阻止人們訪問此文件，並確保信息的路徑是我的網站，而不是另一個使用Processrequest實現此目的的網頁。

public void ProcessRequest (HttpContext context) { 


    if (context.Request.Url.Authority.ToString() != HttpContext.Current.Request.Url.Authority.ToString()) 
     return; 
    context.Response.ContentType = "text/plain"; 
    string str = context.Request.Form["recordsArray[]"].ToString(); 
    char[] delimiters = new char[] { ',', ';' }; 
    string[] arr = str.Split(delimiters); 

    for (int i = 0; i < arr.Length; i++) 
    { 
     Functions.Add(new tab(arr[i])); // insert records into table Tabs => int id, string name   
    } 

} 

Answer 1

如果你想防止讓人們獲得一些資源，通常你保護這個資源與驗證：您授予的授權用戶提供的用戶名/密碼，讓您從未經授權的用戶區分開來。

可以僞造HTTP請求並使其看起來好像它來自您的域，而實際上它不是。所以唯一的辦法是使用一些祕密。

Answer 2

你也可以爲你處理SQL注入。

的LINQ to SQL：http://weblogs.asp.net/scottgu/archive/2007/09/07/linq-to-sql-part-9-using-a-custom-linq-expression-with-the-lt-asp-linqdatasource-gt-control.aspx

或東西有點簡單，你可以只使用SQL參數（就是LINQ到SQL使用）：

（短指南）：http://www.sharpdeveloper.net/content/archive/2007/05/25/creating-sqlparameters-best-practices.aspx 或這裏 http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlparameter.aspx

我知道這不是一個專門針對您的解決方案，但我希望有所幫助。