參數化 SQL 語句如何防止使用者輸入的 INSERT 語句中的 SQL 注入？

使用者輸入的INSERT 語句中的SQL 注入漏洞

儘管其內部可訪問性，但開發安全的線上應用程式需要警惕SQL 注入攻擊。即使包含使用者產生的註解的 INSERT 語句也可能隱藏這些漏洞。

了解威脅

當惡意使用者輸入操縱 SQL 查詢時，會發生 SQL 注入漏洞，可能導致未經授權的攻擊存取、資料修改或系統外洩。對於有註解的 INSERT 語句，攻擊者可以注入改變查詢本身的程式碼。

例如，考慮一個帶有 ID 和註解欄位的註解表。像是「'DELETE FROM users;--」這樣看似無害的註解如果直接插入 SQL 語句中可能會造成災難性的後果。它將刪除用戶表中的所有記錄，默默地繞過任何授權檢查。

防止注入

要降低此風險，您必須使用參數化 SQL 語句。這些語句使用佔位符（例如@Comment）來表示使用者輸入。然後將參數綁定到特定值，以防止惡意程式碼被解釋為查詢的一部分。

範例：

using System.Data;
using System.Data.SqlClient;

public class SurveyController
{
    private string _connectionString;

    public SurveyController(string connectionString)
    {
        _connectionString = connectionString;
    }

    public void InsertComment(string comment)
    {
        using (var connection = new SqlConnection(_connectionString))
        {
            using (var command = connection.CreateCommand())
            {
                command.CommandText = "INSERT INTO Comments (Comment) VALUES (@Comment)";
                command.Parameters.AddWithValue("@Comment", comment);

                connection.Open();
                command.ExecuteNonQuery();
            }
        }
    }
}

在此範例中， @Comment 參數可防止註解被解釋為 SQL 程式碼。 AddWithValue 方法確保註解綁定到參數並作為文字字串傳遞。

結論

實作參數化 SQL 對於防止 SQL 注入至關重要。透過確保將用戶輸入視為數據，您可以保護您的應用程式和數據免受惡意攻擊。

以上是參數化 SQL 語句如何防止使用者輸入的 INSERT 語句中的 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！