防止SQL注入在SELECT語句

我使用VS2005 C＃ASP.NET和SQL Server 2005防止SQL注入在SELECT語句

我有我的ASP頁面上搜索功能，我覺得我的選擇查詢很容易受到SQL注射。

這是我目前SELECT語句：

string LoggedInUser = (User.Identity.Name); 

SqlDataSource1.SelectCommand = "SELECT * FROM [TABLE1] where [" + DropDownList1.Text + "] like '%" + searchTB.Text + "%' AND [empUser] LIKE '%"+LoggedInUser+"%'"; 
SqlDataSource1.DataBind();

*其中searchTB是我的搜索文本框; DropDownList1是我的搜索類別; LoggedInUser是登錄用戶的用戶名。

我已經實現了參數，而不是串聯在我INSERT語句之一：

string sql = string.Format("INSERT INTO [TABLE2] (Username) VALUES (@Username)"); 
     SqlCommand cmd = new SqlCommand(sql, conn); 
     cmd.Parameters.AddWithValue("Username", usernameTB.Text); 
conn.Open(); 
cmd.ExecuteNonQuery(); 
conn.Close();

我想改變我的選擇聲明像我INSERT聲明，改用參數。我可以知道我應該如何改變它？

謝謝

來源

2011-12-08 user1084683

我的答案有問題嗎？你需要更多的幫助嗎？ – dknaack

這是不可能的參數您的下拉列表和文本框爲ASP.NET不允許的控制參數。

來源

2011-12-13 02:23:06 gymcode

編寫獲取數據SOURSE的方法和使用SQL參數查詢。 Here是一個很好的例子，如何在命令對象添加參數

SqlCommand command = new SqlCommand(commandText, connection); 
command.Parameters.Add("@ID", SqlDbType.Int); 
command.Parameters["@ID"].Value = customerID;

讓我單獨從UI功能的數據庫訪問，我會用的方法進行查詢。此外，這允許重用查詢。

來源

2011-12-08 09:30:23 Thea

您可以添加參數使用

SqlDataSource s = new SqlDataSource(); 
s.SelectParameters.Add("paramName", "paramValue");

中有刪除，更新等參數的集合，並插入太貴的SelectCommand。

s.DeleteParameters 
s.UpdateParameters 
s.InsertParameters

Programmatically Using SqlDataSource

希望這有助於

來源

2011-12-08 09:31:53 dknaack

見Using Parameters with the SqlDataSource Control

而且SqlDataSource.SelectParameters Property

可以爲SqlDataSource的指定SelectParameters物業使用參數化SQL查詢

來源

2011-12-08 09:33:34 ukessi

這不是一個簡單的任務來動態指定查詢字段名，所以我建議只是在做開關/案例驗證字段名稱，像這樣：

switch (DropDownList1.Text) 
{ 
    case "ValidField1": 
    case "ValidField2": 
    ... 
     break; 
    default: 
     throw new ArgumentException(...); // or prevent query execution with some other statement 
} 

SqlDataSource1.SelectCommand = "SELECT * FROM [TABLE1] where [" + DropDownList1.Text + "] like @value AND [empUser] LIKE @user"; 
SqlDataSource1.SelectParameters.Add("value", "%" + searchTB.Text + "%"); 
SqlDataSource1.SelectParameters.Add("user", "%"+LoggedInUser+"%"); 
SqlDataSource1.DataBind();

來源

2011-12-08 09:33:54

我在我的案例「ValidFied1」中放了什麼。可以舉個例子嗎？ Thks – gymcode

@RUiHAO：來自DropDownList1或（這應該是相同的）來自TABLE1的所有字段名稱的所有值，允許用戶執行搜索。這是防止在DropDownList1.Text字段中發送任意內容（SQL注入）所必需的。 –

你可以簡單地使用過濾器表達式的SQL數據源SQL Datasource filter expression
您可以編寫帶有對象數據源自己的選擇功能的方法/數據表

來源

2011-12-08 11:50:51

防止SQL注入在SELECT語句

回答

相關問題