Wie kann ich SQL -Injektionsanfälligkeiten in meinen C# -Anwendungen verhindern?

C# -Antretung gegen SQL -Injektionsangriffe

befestigen

Datensicherheit ist für die Anwendungsentwicklung von entscheidender Bedeutung, und die SQL -Injektion bleibt eine wichtige Anfälligkeit. Dieser Leitfaden beschreibt bewährte Methoden zum Schutz Ihrer C# -Anwendungen vor diesen Angriffen.

Ein grundlegender Schritt ist eine strenge Eingabevalidierung. Mit regelmäßigen Ausdrücken oder nativen C# -Funktionen können Sie strenge Eingabeformate durchsetzen. Beispielsweise könnte ein E -Mail -Feld auf die Struktur "@domain.com" beschränkt sein. Dies verhindert, dass potenziell schädliche Zeichen SQL -Abfragen infiltrieren.

Eine robustere Strategie beinhaltet parametrisierte Abfragen und die SqlCommand Klasse. Diese Technik trennt die Benutzereingabe von der SQL -Anweisung selbst sauber, sodass die Handhabung und Filterung in die Datenbankmotor. SqlParameter Objekte werden erstellt, Werte zugewiesen und dann in die Abfrage integriert.

Illustratives Beispiel:

<code class="language-csharp">using System.Data;
using System.Data.SqlClient;

private static void UpdateDemographics(int customerID, string demoXml, string connectionString)
{
    string commandText = "UPDATE Sales.Store SET Demographics = @demographics WHERE CustomerID = @ID;";

    using (SqlConnection connection = new SqlConnection(connectionString))
    {
        SqlCommand command = new SqlCommand(commandText, connection);
        command.Parameters.Add("@ID", SqlDbType.Int);
        command.Parameters["@ID"].Value = customerID;

        command.Parameters.AddWithValue("@demographics", demoXml);

        try
        {
            connection.Open();
            int rowsAffected = command.ExecuteNonQuery();
            Console.WriteLine("RowsAffected: {0}", rowsAffected);
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
        }
    }
}</code>

parametrisierte Abfragen verringern das Risiko einer SQL -Injektion signifikant. Die Datenbank behandelt Parameter als Daten, nicht als ausführbarer Code, wobei die Bedarf an manueller Desinfektion beseitigt und einen starken Schutz vor böswilligen Eingaben bietet.

Das obige ist der detaillierte Inhalt vonWie kann ich SQL -Injektionsanfälligkeiten in meinen C# -Anwendungen verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!