如何防止帶有文字方塊註解的 INSERT 語句中的 SQL 注入？

帶有文字方塊註解的INSERT 語句的SQL 注入預防

如果不處理，任何SQL 語句（包括INSERT 語句）都可能出現SQL 注入漏洞

在INSERT在語句的上下文中，當以下情況發生時，可能會發生 SQL 注入攻擊：不受信任的輸入，例如使用者在文字方塊中輸入的註釋，未經適當的清理或驗證就直接連接到 SQL 查詢。

SQL 注入攻擊範例

考慮一個帶有兩個欄位的簡化註解表：一個整數 ID 和一個註解字串。新增註解的INSERT 語句可能如下所示：

INSERT INTO COMMENTS VALUES(122, 'I like this website');

但是，如果惡意使用者輸入下列註解：

'); DELETE FROM users; --

SQL 語句，未經任何處理，會變成：

INSERT INTO COMMENTS VALUES(123, ''); DELETE FROM users; -- ');

這將導致使用者不僅新增評論，而且執行惡意SQL 命令，刪除資料庫中的所有記錄'users' 表。

防止 SQL 注入

為了防止 SQL 注入攻擊，必須使用參數化 SQL 語句。這些語句使用佔位符來表示不受信任的輸入，資料庫會自動處理將輸入插入​​到 SQL 查詢中。

在 .NET 2.0 中，您可以使用 SqlCommand 類別來執行參數化 SQL 語句。例如，以下程式碼將使用參數化 SQL 語句插入註解：

using (SqlConnection connection = new SqlConnection("connectionString"))
{
    connection.Open();

    using (SqlCommand command = new SqlCommand("INSERT INTO COMMENTS VALUES (@Id, @Comment)", connection))
    {
        command.Parameters.AddWithValue("@Id", 123);
        command.Parameters.AddWithValue("@Comment", comment);
        command.ExecuteNonQuery();
    }
}

透過使用參數化 SQL 語句，可以有效防止 SQL 注入攻擊，確保惡意輸入安全處理，不會被攻擊。影響資料庫的完整性。

以上是如何防止帶有文字方塊註解的 INSERT 語句中的 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！