Prévention de l'injection SQL dans ASP.Net

J'ai ce code

UPDATE OPENQUERY (db,'SELECT * FROM table WHERE ref = ''"+ Ref +"'' AND bookno = ''"+ Session("number") +"'' ')

Comment pourrais-je empêcher les Injections SQL?

Mise à JOUR

Voici ce que je suis en train

SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con); 
cmd.Parameters.AddWithValue("@ref", 34);

Pour quelque raison que tout ce que j'ai essayer et d'ajouter qu'il ne semble pas fonctionner, je reçois des SQL Command mentionnés ci-dessous.

L'erreur est ce

'SqlCommand' is a type and cannot be used as an expression

Je prends quelqu'un d'autre travail, donc c'est tout nouveau pour moi et je voudrais faire les choses de la bonne façon, donc si quelqu'un peut fournir plus d'aide sur comment faire ma requête ci-dessus, à l'abri de SQL injections alors s'il vous plaît.

MISE À JOUR N ° 2

J'ai ajouté dans le code VasilP dit comme ça

Dim dbQuery As [String] = "SELECT * FROM table WHERE ref = '" & Tools.SQLSafeString(Ref) & "' AND bookno = '" & Tools.SQLSafeString(Session("number")) & "'"

Mais j'obtiens une erreur Tools is not declared ai-je besoin de spécifier l'espace de noms pour que cela fonctionne?

Mise à JOUR

Quiconque a des idées sur le meilleur, de faire ma requête à l'abri de l'injection SQL sans les erreurs que je suis en train de vivre?

Mise à JOUR

Je l'ai donc fonctionner sans les paramètres bits voici mon code mis à jour une idée pourquoi ne pas ajouter de la valeur du paramètre?

Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'")
   conn.Open()


Dim query As New SqlCommand("Select * from openquery (db, 'Select * from table where investor = @investor ') ", conn)
query.Parameters.AddWithValue("@investor", 69836)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()

Il fonctionne comme ceci

Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'")
   conn.Open()


Dim query As New SqlCommand("Select * from openquery (db, 'Select * from table where investor = 69836') ", conn)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()

L'erreur que j'obtiens est ce

An error occurred while preparing a query for execution against OLE DB provider 'MSDASQL'.

Et c'est parce qu'il n'est pas de remplacer le @investor avec le 69836

Des idées?

SOLUTION

Voici comment j'ai résolu mon problème

Dim conn As SqlConnection = New SqlConnection("server='h'; user id='w'; password='w'; database='w'; pooling='false'")

conn.Open()

Dim query As New SqlCommand("DECLARE @investor varchar(10), @sql varchar(1000) Select @investor = 69836 select @sql = 'SELECT * FROM OPENQUERY(db,''SELECT * FROM table WHERE investor = ''''' + @investor + ''''''')' EXEC(@sql)", conn)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()

Maintenant, je peux écrire des requêtes sans avoir le souci de l'injection SQL

source d'informationauteur Jamie Taylor

  1. 19

    Essayez d'utiliser un requête paramétrée voici un lien http://www.aspnet101.com/2007/03/parameterized-queries-in-asp-net/

    Aussi, ne pas utiliser la fonction OpenQuery... utiliser le présent pour exécuter l'sélectionnez

    SELECT * FROM db...table WHERE ref = @ref AND bookno = @bookno

    Plus d'articles décrivant certaines de vos options:

    http://support.microsoft.com/kb/314520

    Quelle est la syntaxe de T-SQL pour se connecter à un autre Serveur SQL?

    Édité

    Remarque: Votre question initiale a été de demander à propos de requêtes distribuées et les serveurs Liés. Cette nouvelle déclaration ne fait pas référence à une requête distribuée. Je ne peux que supposer que vous êtes connecter directement à la base de données. Voici un exemple qui devrait fonctionner.
    Voici un autre site de référence pour l'utilisation de SqlCommand.Paramètres

    SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con); 
cmd.Parameters.Add("@ref", SqlDbType.Int);
cmd.Parameters["@ref"] = 34;

    Édité:

    Ok Jamie taylor, je vais essayer de répondre à votre question.

    Vous utilisez OpenQuery parce que vous utilisez probablement lié DB

    Fondamentalement, le problème est le OpenQuery Méthode prend une chaîne, vous ne pouvez pas passer une variable en tant que partie de la chaîne que vous avez envoyé à OpenQuery.

    Vous pouvez formater votre requête comme ceci à la place. La notation suit servername.databasename.schemaname.tablename. Si vous utilisez un serveur lié via odbc puis omettre databasename et schemaname, comme illustré ci-dessous

        Dim conn As SqlConnection = New SqlConnection("your SQL Connection String")
    Dim cmd As SqlCommand = conn.CreateCommand()
    cmd.CommandText = "Select * db...table where investor = @investor"
    Dim parameter As SqlParameter = cmd.CreateParameter()
    parameter.DbType = SqlDbType.Int
    parameter.ParameterName = "@investor"
    parameter.Direction = ParameterDirection.Input
    parameter.Value = 34
  2. 5

    Utilisez les paramètres au lieu de la concaténation de votre requête SQL.

    En supposant que votre moteur de base de données SQL Server, voici un morceau de code qui je l'espère pourra vous aider.

    Using connection As SqlConnection = new SqlConnection("connectionString")
    connection.Open()

    Using command As SqlCommand = connection.CreateCommand()
        string sqlStatement = "select * from table where ref = @ref and bookno = @bookno";
        command.CommandText = sqlStatement
        command.CommandType = CommandType.Text

        Dim refParam As SqlDataParameter = command.CreateParameter()
        refParam.Direction = ParameterDirection.Input
        refParam.Name = "@ref"
        refParam.Value = Ref

        Dim booknoParam As SqlDataParameter = command.CreateParameter()
        booknoParam.Direction = ParameterDirection.Input
        booknoParam.Name = "@bookno"
        booknoParam.Value = Session("number")

        Try
            Dim reader As SqlDataReader = command.ExecuteQuery()
            ' Do your reading job here...'
        Finally
            command.Dispose()
            connection.Dispose()
        End Try
    End Using
End Using

    Pour résumer le tout, éviter de l'instruction SQL de la concaténation à tout prix, et l'utilisation paramétrée quesries!

    Voici un lien intéressant qui vous amène par injection de code SQL de la résolution de problème sur MSDN:

    Comment faire: Protéger contre l'Injection SQL dans ASP.NET

  3. 4

    utilisation sqlparameters comme:

    SqlCommand cmd = new SqlCommand("Select * from Table where id=@id", con);
cmd.Parameters.AddWithValue("@id", 34);
  4. 2

    vous pouvez utiliser des requêtes paramétrées.

    http://www.functionx.com/aspnet/sqlserver/parameterized.htm

  5. 2
    SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con); 
cmd.Parameters.AddWithValue("@ref", 34);

    il ne fonctionne pas car il est écrit en C#, pas de VB.

    Essayer quelque chose comme

    Dim cmd As New SqlCommand("Select * from Table where ref=@ref", con)
cmd.Parameters.AddWithValue("ref", 34)
  6. 1

    Mon manière préférée est de permettre à Visual Studio à gérer tout cela par la création d'un DAL:
    http://www.asp.net/data-access/tutorials/creating-a-data-access-layer-cs

  7. 1

    Utiliser LINQ. Il parametrizes requêtes automatiquement.

  8. 1

    Découvrez ORM comme une alternative (très bonne façon d'aller si vous êtes à la construction de quelque chose de taille moyenne ou grande). Il faut un peu de temps pour le configurer, mais ensuite, le développement devient TRÈS rapide. Vous choisissez à partir de la maternelle, Linq to SQL ou Entity FrameworkOU, essayez toute autre ORM qui fonctionne avec .NET.