Comment faire des requêtes paramétrées aider contre les injections SQL?

Dans les deux requêtes 1 et 2, le texte de la zone de texte est inséré dans la base de données. Quelle est la signification de la requête paramétrée ici?

  1. Passant txtTagNumber comme un paramètre de requête

    SqlCommand cmd = new SqlCommand("INSERT INTO dbo.Cars " +"VALUES(@TagNbr);" , conn);
cmd.Parameters.Add("@TagNbr", SqlDbType.Int);
cmd.Parameters["@TagNbr"].Value = txtTagNumber.Text;

  2. Conversion txtTagNumber à un entier avant de construire la requête

    int tagnumber = txtTagNumber.Text.ToInt16(); /* EDITED */
INSERT into Cars values(tagnumber.Text); /* then is it the same? */

Aussi, là, je voudrais utiliser une Expression Régulière pour la validation d'arrêter d'insertion des caractères illégaux.

  • Pourquoi écrire votre propre validation, lorsque les requêtes paramétrées déjà résoudre le problème?
  • En Plus de la validation est dur sur gratuit de saisie de texte, et les requêtes Paramétrées faire le bon "s'enfuir" ( le client fait passer les données directement sur le serveur ).
  • pouvez-vous me donner un exemple de s'ÉCHAPPER?
  • un !non valide! s'échapper serait par exemple de Chaîne.remplacer("'","""). Paramétrée à l'exécution de la commande, utiliser une autre forme de codage qu'il n'est pas nécessaire pour vous de savoir
  • Double Possible de Pourquoi il faut toujours préférer l'utilisation de paramètres dans les requêtes SQL?
InformationsquelleAutor sqlchild | 2011-03-29
  1. 44

    Des requêtes paramétrées faire une substitution des arguments avant l'exécution de la requête SQL. Il supprime complètement la possibilité de "sale" entrée changer le sens de votre question. C'est, si l'entrée contient SQL, il ne peut pas devenir une partie de ce qui est exécuté becase le SQL n'est jamais injecté dans la déclaration.

    • pouvez-vous donner un exemple s'il vous plaît? comme si je donne DROP table des voitures , alors ce serait la requête paramétrée faire?
    • la table, la colonne ou le nom d'une procédure (bien identificateurs en général) ne peut pas être paramétrée, seuls les "valeurs" ou des "arguments" (comme JO l'a dit). Comme utilisé dans l'endroit ou se JOINDRE/DANS les clauses, les paramètres à des fonctions ou des procédures, etc. D'où le nom de "paramétrée" requêtes.
    • monsieur, je voulais dire que, si je passe DROP table des Voitures dans la zone de texte , à une instruction insert, insérez-les dans les voitures de valeurs(@carname); cmd.Les paramètres.Ajouter(@carname,SQLDBTYPE varchar), alors ce serait la requête paramétrée faire ?
    • aussi, ce sont ces deux mêmes: zone de texte.texte.tostring() et cmd.Les paramètres.Ajouter(@carname,SqlDbType varchar) ; cmdDatabase.Les paramètres["@carname"].Valeur = textBox1.Texte;
    • Désolé, mal compris, que. Il aurait suffit d'insérer la chaîne "DROP table de Voitures" dans la colonne correspondante/champ.
    • est-ce donc savoir que pour échapper?
    • Non, il n'est pas connu que pour échapper. C'est un mécanisme prévu par la base de données pour faire échapper inutiles. Je pense que vous avez besoin pour lire un fond un peu plus sur l'injection SQL (par exemple, ici en.wikipedia.org/wiki/SQL_injection) - plus que celui qui entre dans un commentaire ou dans une réponse à votre question de départ.
    • monsieur, si je veux ajouter plusieurs paramètres dans cmd, puis comment le faire? vais-je avoir à écrire une cmd.Les paramètres.AJOUTER(@p1) ......cmd.Les paramètres.AJOUTER(@p2)...?
    • De votre point de départ pour changer de sujet et ont déjà accepté de répondre à votre question de départ de toute façon. Veuillez envisager d'afficher un autre/nouvelle question à propos d'autres choses que vous devez savoir. C'est de cette façon DONC, est censé travailler et permet de mieux discoverabilty et bénéficie à tout le monde.
    • Christian: Merci pour le suivi avec les réponses mate. J'étais loin de ma machine depuis quelques heures, et vous m'avez sauvé d'avoir à le préciser. +10 mate 🙂
    • "les requêtes paramétrées" ne pas faire de l'aide si il y a du sql dynamique créée en sql (comme cela pourrait se produire dans une procédure stockée), puis d'être exécuté comme exec requête ou exec sp_executeSQL requête

    InformationsquelleAutor OJ.
  2. 16

    injection sql qui se passe lorsqu'un paramètre a sql et les cordes ne sont pas traitées comme il se doit

    par exemple:

    var sqlquerywithoutcommand = "select * from mytable where rowname =  '" + condition+''";

    et la condition est une chaîne de caractères en provenance de l'utilisateur dans la requête. Si la condition est malveillant
    dire par exemple: 

    var sqlquerywithoutcommand = "select * from mytable where rowname =  '" + "a' ;drop table  mytable where '1=1"+"'";

    vous pourriez vous retrouver l'exécution de scripts malveillants.

    mais en utilisant les paramètres de l'entrée sera nettoyé de tous les caractères qui pourraient s'échapper de la chaîne de caractères...

    vous pouvez être assuré, peu importe ce qui arrive, ne sera pas en mesure d'exécuter injecter des scripts.

    à l'aide de la commande de l'objet avec les paramètres sql exécuté ressemblerait à ceci 

    select * from mytable where rowname = 'a'';drop table mytable where 1=1'''

    dans essense il sera à la recherche pour une ligne avec rowname = a';drop table mytable where 1=1'
    et ne s'exécute pas le script restant

    • mais lorsque sql prend la valeur du paramètre, puis comment il le lit, je veux dire qu'il allait le prendre de la même manière que directement à partir de la chaîne , c'est à dire qu'il serait lu comme drop table mytable , ou je me trompe?
    • sqlchild :nan...il échappe à tous les " avec ", de sorte que l'ensemble de la chaîne devient le paramètre...permettez-moi d'ajouter ceci à la réponse
    InformationsquelleAutor Mulki
  3. 10

    Imaginer une dynamique de requêtes SQL

    sqlQuery='SELECT * FROM custTable WHERE User=' + Username + ' AND
Pass=' + password

    une simple injection sql serait juste de mettre le nom d'utilisateur en tant que ' OR
    1=1--     Cela permettrait effectivement de faire la requête sql:

    sqlQuery='SELECT * FROM custTable WHERE User='' OR 1=1-- ' AND PASS='
+ password

    Cela dit sélectionnez tous les clients là où ils sont le nom d'utilisateur est vide ( "" ) ou
    1=1, ce qui est un booléen, soit vrai. Ensuite, il utilise -- de commentaire
    le reste de la requête. Donc ce sera juste imprimer toutes les
    table client, ou faire ce que vous voulez avec elle, si la connexion, il
    va ouvrir une session avec le premier privilèges de l'utilisateur, qui peut souvent être le
    d'administrateur.

    Maintenant des requêtes paramétrées le faire différemment, avec un code comme:

    sqlQuery='SELECT * FROM custTable WHERE User=? AND Pass=?'

    paramètres.add("Utilisateur", nom d'utilisateur) des paramètres.ajouter("Pass", mot de passe)

    où nom d'utilisateur et mot de passe sont variables pointant vers les associés
    saisie de nom d'utilisateur et le mot de passe

    Maintenant, à ce stade, vous pensez peut-être, cela ne changera rien
    à tous. Sûrement, vous pouvez toujours juste de la mettre dans le champ nom d'utilisateur
    quelque chose comme Personne OU 1=1'--, ce qui fait la requête:

    sqlQuery='SELECT * FROM custTable WHERE User=Nobody OR 1=1'-- AND
Pass=?'

    Et cela semble comme un argument valable. Mais, vous avez tort.

    La façon dont les requêtes paramétrées travail, c'est que le sqlQuery est envoyé comme un
    de la requête et de la base de données sait exactement ce que cette requête va le faire, et
    alors seulement, il insérez le nom d'utilisateur et mots de passe simplement en tant que valeurs.
    Cela signifie qu'ils ne peuvent pas l'effet de la requête parce que la base de données déjà
    sait ce que la requête ne pourra le faire. Donc, dans ce cas, il aurait l'air d'un
    nom d'utilisateur de "Nobody OR 1=1'--" et un mot de passe vide, qui devrait venir
    faux.

    Prises de

    InformationsquelleAutor
  4. 1

    Des requêtes paramétrées s'occupe de tout - pourquoi aller à la peine?

    Avec des requêtes paramétrées, en plus générale de l'injection, vous bénéficiez de tous les types de données traitées, des chiffres (de type int et float), les cordes (avec des guillemets), les dates et les heures (pas de problèmes de mise en forme ou des problèmes de localisation lorsque .ToString() n'est pas appelé avec l'invariant de la culture et de votre client se déplace à une machine avec et inattendu format de la date).

    • Ils ont sûrement poignée d'injection SQL mais pas les autres types d'injections (principalement web côté de l'injection comme en javascript).
    InformationsquelleAutor Cade Roux
  5. 1

    Des requêtes paramétrées permettre au client de transmettre les données séparément forme le texte de la requête.
    Où sur la plupart de libre à partir du texte que vous feriez de validation + échapper.
    Bien sûr, le Paramétrage n'aident pas à l'encontre d'autres type d'injection, mais en tant que paramètre sont transmis séparément, ils ne sont pas les utiliser comme de l'exécution de requête de texte.

    Une bonne analogie serait la "récente" de l'exécution de bits utilisé avec la plupart des modernes processeur et système d'Exploitation afin de les protéger de débordement de la mémoire tampon. Il permet néanmoins de le débordement de la mémoire tampon, mais aussi d'empêcher l'exécution de l'injection de données.

    InformationsquelleAutor dvhh
  6. 1

    Il est assez facile de comprendre pourquoi on se sent si.

    sqlQuery = "select * from users where username='+username+';"

    vs

    sqlQuery = "select * from users where username=@username;"

    Les deux requêtes semblent faire la même chose.Mais en fait ils ne le font pas.

    Le premier utilise en entrée une requête, ce dernier décide de la requête, mais seuls les substituts les entrées que c'est au cours de l'exécution de la requête.

    Pour être plus clair, les valeurs des paramètres sont situés quelque part sur la pile, où les variables de la mémoire est stockée et est utilisé pour la recherche en cas de besoin.

    Donc, si nous devions donner ' OR '1'='1 que l'entrée dans le nom d'utilisateur, le premier, de dynamiquement la construction d'un nouveau requêtes ou des requêtes dans le cadre de la chaîne de requête sql sqlQuery qui est ensuite exécuté.

    Alors que sur la même entrée, dernier de recherche pour ' OR '1'=' dans le username domaine de la users table avec le statiquement requête spécifiée dans la chaîne de requête sqlQuery

    Juste pour le consolider, c'est la façon dont vous utilisez les paramètres de requêtes:

    SqlCommand command = new SqlCommand(sqlQuery,yourSqlConnection);

SqlParameter parameter = new SqlParameter();
parameter.ParameterName = "@username";
parameter.Value = "xyz";

command.Parameters.Add(parameter);
    InformationsquelleAutor ant_1618