Attaque par Injection SQL de prévention: où dois-je commencer

Je cherche à rendre mon site sécurisé contre les attaques par injection SQL. Quelqu'un at-il de bons liens pour rendre le site sécurisé contre ces types d'attaques dans un ASP.NET site (c#, web forms)?

EDIT:

Je me dois de souligner au j'utilise Entity Framework

OriginalL'auteur Funky | 2012-02-06

  1. 14

    La première et la meilleure ligne de défense est de ne pas utiliser SQL dynamique.

    Toujours utiliser les requêtes paramétrées.

    Prendre un coup d'oeil à la OWASP page sur l'Injection SQL.

    OriginalL'auteur Oded

  2. 4

    Voir les ressources suivantes:

    Dans le fond, Oded déjà souligné, elle se résume à l'arrêt de la concaténation de votre SQL - surtout si cela implique des données saisies par l'utilisateur dans les zones de texte et utiliser requêtes paramétrées, dans ADO.NET.

    OriginalL'auteur marc_s

  4. 2

    C'est une excellente série qui couvre le top 10 des menaces de sécurité pour les applications web et la façon de les atténuer à l'aide de ASP.net: http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html

    J'ai tendance à le lien de l'ebook faite à partir de ces. Mais seul l'un des vulnérabilités d'Injection SQL qui l'OP a demandé à propos.
    Bon point - Ajout -> troyhunt.com/2011/12/free-ebook-owasp-top-10-for-net.html

    OriginalL'auteur Zach Green

  5. 1

    C'est facile. La plupart d'injection vulns viennent de code qui ressemble à ceci: 

    var myQuery="SELECT something FROM somewhere WHERE somefield="+userSuppliedData;
//execute myQuery against db
//now suppose userSuppliedData=="'';DROP TABLE somewhere;"

    Si vous êtes à rouler à la main les instructions sql comme ceci, vous êtes à risque. Envisager l'utilisation d'un ORM ou des requêtes paramétrées.

    OriginalL'auteur spender

  6. 0

    Utiliser des procédures stockées avec des paramètres et d'éviter inline SQL si possible...

    OriginalL'auteur Tim

  7. -1

    obtenir les données par l'intermédiaire des paramètres comme:

    string str = "insert into CustomerHistoryDD(logo,ceoPicture,ceoProfilePicture,coverPhoto,employee1,employee2,employee3,employee4) values(@param1,@param2,@param3,@param4,@param5,@param6,@param7,@param8)";
        SqlCommand cmd = new SqlCommand(str, con);
        con.Open();
        cmd.Parameters.AddWithValue("@param1", link);
        cmd.Parameters.AddWithValue("@param2", link1);
        cmd.Parameters.AddWithValue("@param3", link2);
        cmd.Parameters.AddWithValue("@param4", link3);
        cmd.Parameters.AddWithValue("@param5", tb_Emp1.Text);
        cmd.Parameters.AddWithValue("@param6", tb_Emp2.Text);
        cmd.Parameters.AddWithValue("@param7", tb_Emp3.Text);
        cmd.Parameters.AddWithValue("@param8", tb_Emp4.Text);
        cmd.ExecuteNonQuery();
        con.Close();
        lbl_msg.Text = "Data Saved Successfully";

    OriginalL'auteur Ubaid Ur Rahman