防止SQL注入在asp.net

Question

我具有以下的認證方法：

protected void Button1_Click(object sender, EventArgs e) 
     {    
      string s; 
      s = ConfigurationManager.ConnectionStrings["ConnectionString"].ConnectionString; 
      SqlConnection con = new SqlConnection(s); 
      con.Open(); 
      string sqlCmd; 
      sqlCmd = "SELECT Username, UserPassword FROM Benutzer WHERE Username = @Username AND UserPassword =@Password"; 
      SqlCommand cmd = new SqlCommand(sqlCmd, con); 
      String username = tbUsername.Text.Replace("'", "''"); 
      String password = tbPassword.Text.Replace("'", "''"); 
      cmd.Parameters.AddWithValue("Username", username); 
      cmd.Parameters.AddWithValue("Password", password); 
      string CurrentName; 
      CurrentName = (string)cmd.ExecuteScalar(); 
      if (CurrentName != null) 
      { 
       Session["UserAuthentication"] = cmd.Parameters[0].ToString(); 
       Session.Timeout = 1; 
       Response.Redirect("Default.aspx"); 
      } 
      else 
      { 
       lblStatus.ForeColor = System.Drawing.Color.Red; 
       lblStatus.Text = "Benuztername/Password ungültig!"; 
      } 
     } 

是這足以防止SQL注入？我以前只是用戶名和密碼，直接進入命令是這樣的：

sqlCmd = "SELECT Username, UserPassword FROM Benutzer WHERE Username ='" + username + "' AND UserPassword ='" + pwd + "'"; 

其中username和pwd那裏只是字符串變量中的用戶名和密碼文本框的內容保存...

編輯：

確定我已經編輯我的代碼現在看起來是這樣的：

protected void Button1_Click(object sender, EventArgs e) 
     { 
      SqlConnection objcon = new SqlConnection(System.Configuration.ConfigurationManager.ConnectionStrings["ConnectionString"].ToString()); 
      SqlDataAdapter objda = new SqlDataAdapter("[MembershipPruefen]", objcon); 
      objda.SelectCommand.CommandType = CommandType.StoredProcedure; 
      objda.SelectCommand.Parameters.Add("@Username", SqlDbType.VarChar).Value = tbUsername.Text; 
      objda.SelectCommand.Parameters.Add("@UserPassword", SqlDbType.VarChar).Value = tbPassword.Text; 
      objcon.Open(); 
      string CurrentName; 
      CurrentName = (string)objda.SelectCommand.ExecuteScalar(); 
      if (CurrentName != null) 
      { 
       Session["UserAuthentication"] = tbUsername.Text; 
       Session.Timeout = 1; 
       Response.Redirect("Default.aspx"); 
      } 
      else 
      { 
       lblStatus.ForeColor = System.Drawing.Color.Red; 
       lblStatus.Text = "Benuztername/Password ungültig!"; 
      } 
      objcon.Close();    
     } 

這是我的存儲過程：

CREATE PROCEDURE MembershipPruefen (@Username VARCHAR(50), @UserPassword VARCHAR(50)) 
AS 

SELECT Username, UserPassword FROM Benutzer WHERE Username LIKE @Username AND UserPassword LIKE @UserPassword; 

這就夠了嗎？我的網絡應用程序是否可以安全地防止SQL入侵或者還有什麼可做的事情？

Answer 1

使用預處理語句：

SqlCommand.Prepare

MSDN

Answer 2

使用存儲過程，只返回一個值來表示它存在於數據庫中（即行計數），或者如果您需要使用會話數據的用戶名等，然後只是返回用戶名。

這表明更小的DB數據的用戶:)

對於信息存儲過程：http://support.microsoft.com/kb/306574

Answer 3

使用參數化查詢（SqlCommand時使用的SqlParameter），並把用戶輸入的參數。 不要從未經檢查的用戶輸入中構建SQL字符串。 不要以爲你可以建立一個消毒程序，可以檢查用戶輸入的每一種格式錯誤。邊緣情況很容易被遺忘。檢查數字輸入可能很簡單，可以讓您安全起見，但對於字符串輸入只需使用參數。 檢查二級漏洞 - 如果這些值由用戶輸入組成，請不要從SQL表值中構建SQL查詢字符串。 使用存儲過程來封裝數據庫操作。

或者使用Prepared語句，它們將使用ORM形成，如Linq to SQL或NHibernate，它們在內部使用預準備語句。

Answer 4

我會創建一個專用的sql服務器用戶連接到數據庫（我想你現在正在與'薩'連接？）。

這意味着你將一個新用戶添加到沒有權限的數據庫中，並且當你第一次運行應用程序時，你會得到一個sql異常，如預期的那樣說你沒有讀取權限。 您授予對新建用戶的'Benutzer'表的SELECT權限等。

當您這樣做時，即使您的連接受到攻擊，攻擊者也無法執行系統存儲過程等。

還有一件事：建議您散列密碼，這樣您的密碼就永遠不會以真實的文字讀取。 這是一篇大文章，我看到你沒有太多時間，但我強烈建議你實施哈希密碼。 http://crackstation.net/hashing-security.htm

編輯：我在您的存儲過程中看到一個LIKE，我會指出=，用戶必須輸入正確的密碼！

而我看到你從一個sql語句改變爲一個存儲過程：在前面的文本中，將表上的SELECT權限更改爲存儲過程的EXECUTE權限。