1
我有一個大表單,當我試圖執行SQL查詢以保存表單數據時,我得到一個SqlException(類似於每個查詢超過1200個SQL參數)。從SQL注入保護應用程序
由於性能問題,通過少於1200個SQL參數的查詢分解查詢並不是一個好主意,實際上這並不容易。我擔心在SQL查詢中放入原始值可能會導致SQL注入的安全問題。
那麼我該怎麼辦?如果我放入原始值,那麼保護應用程序免受SQL注入攻擊的最佳方式是什麼?
A
回答
1
創建xml的參數值並將xml作爲單個參數傳遞。然後只需將xml解析爲任意數量的變量(或臨時表中的行)。例如,而不是:
SELECT ?, ?, ?
並傳遞'my first form value','my second form value'和'my third form value',你可以這樣做:
DECLARE @x XML SET @x = ?;
SELECT
T.x.value('@a1', 'NVARCHAR(50)')
, T.x.value('@a2', 'NVARCHAR(50)')
, T.x.value('@a3', 'NVARCHAR(50)')
FROM @x.nodes('/form/data') AS T(x)
,並通過只是一個XML參數,'<form><data a1="my first form value" a2="my second form value" a3="my third form value" /></form>'。 SQL Server 2005+具有非常高效的xml解析器,因此我可以想象這與直接傳遞參數一樣快。
當然,您必須採取措施來生成注入彈性xml,但如果我不得不將這麼多的查詢傳遞給我,我會這樣做。 (這就是說,我很難想象一種情況,在這種情況下,人們可能會合法地需要很多平坦的參數。接受任意數據而不是顯式參數會對我更有意義,在這種情況下,上述xml可能會更像是'<form><data name="a1" value="my first form value" /><data name="a2" ... </form>',但同樣的解決方案仍然有效。)
相關問題
- 1. CakePHP 3.0 Sql注入保護
- 2. Php sql注入保護
- 3. typo3 sql注入保護
- 4. PHP SQL注入和保護?
- 5. 用OpenCart保護SQL注入攻擊2.3.0.2
- 6. 從Deobfuscators保護.Net應用程序?
- 7. 保護JSF應用程序
- 8. 保護ASP.NET應用程序
- 9. 保護Android應用程序
- 10. 保護Symfony2應用程序
- 11. 保護Web應用程序
- 12. 如何從直接SQL保護WinForms應用程序
- 13. 從複製保護Winform應用程序/ Sql數據庫
- 14. sprintf()如何再次保護sql注入?
- 15. Parameritized查詢C#SQL注入保護
- 16. 保護免受惡意的sql注入
- 17. PHP - 自動SQL注入保護?
- 18. CSRF/SQL注入保護。還有什麼?
- 19. SQL注入保護 - 何時何地
- 20. null列保護免受sql注入
- 21. 傳統的ASP SQL注入保護
- 22. PDO in Codeigniter - 保護vs SQL注入
- 23. Kohana 2.3.4 ORM sql注入保護
- 24. 這足以保護再次SQL注入?
- 25. 保護ASP.NET中的SQL注入
- 26. 表達式中的SQL注入保護
- 27. 何時擔心SQL注入保護
- 28. 保護XSLT注入
- 29. 如何從SQL注入保護PHP中的SQL?
- 30. 如何使用註冊碼保護移動應用程序?
唯一可靠的方法:***始終***使用**參數化查詢**,並且沒有例外。 – 2013-04-10 14:09:22
有一個U + 02BC unicode引號標記可以避免SQL Server中的單引號(用兩個引號替換一個引號),但只有當字符串隱式轉換爲ascii時纔有效。還有其他針對MySQL等的攻擊,它們使用了多種方式來轉義字符串終結符,但在SQL Server中並非如此。 – criticalfix 2013-04-10 14:48:36
marc_s是最重要的一點。你也應該驗證你的輸入:大多數信息(姓名,地址等等)不包含引號,破折號,撇號等,所以過濾掉並讓用戶知道 – 2013-04-10 15:33:05