如何保護我的 ASP.NET 應用程式免受 SQL 注入攻擊？

屏蔽 ASP.Net 應用程式免受 SQL 注入

在 Web 開發領域，確保使用者輸入的完整性對於防止 SQL 注入等惡意攻擊至關重要。 SQL 注入利用 Web 應用程式中的漏洞來操縱資料庫查詢，可能會暴露敏感資料或損害系統功能。

解決給定 ASP.Net 程式碼中的 SQL 注入

為了解決 SQL 注入風險，需要避免直接從使用者輸入建立 SQL 查詢至關重要。相反，建議的方法是利用參數化查詢將 SQL 語句與使用者提供的值分開。這可以有效地淨化輸入，防止在資料庫中執行惡意程式碼。

SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con);
cmd.Parameters.AddWithValue("@ref", 34);

但是，如果直接查詢構造不可避免，可以使用「工具」類別來轉義特殊字元並降低注入風險:

Dim dbQuery As String = "SELECT * FROM table WHERE ref = '" & Tools.SQLSafeString(Ref) & "' AND bookno = '" & Tools.SQLSafeString(Session("number")) & "'"

在SqlCommand 中使用參數化查詢

另一個有效的方法是利用參數化查詢，其中涉及使用AddWithValue 方法從SQL 語句中單獨傳遞參數。

Dim conn As SqlConnection = New SqlConnection("connection_string")
Dim query As New SqlCommand("Select * from openquery (db, 'Select * from table where investor = @investor ') ", conn)
query.Parameters.AddWithValue("@investor", 69836)

處理連結伺服器連線

使用連結伺服器時，應避免直接查詢建構。相反，應根據伺服器、資料庫、架構和表建構查詢。此方法確保參數和輸入值分開處理，減少注入漏洞。

Dim cmd As SqlCommand = conn.CreateCommand()
cmd.CommandText = "Select * db...table where investor = @investor"
Dim parameter As SqlParameter = cmd.CreateParameter()
parameter.DbType = SqlDbType.Int
parameter.ParameterName = "@investor"
parameter.Direction = ParameterDirection.Input
parameter.Value = 34

解決意外的SQL 指令錯誤

錯誤「SqlCommand 是一種類型，不能用作表達式」 " 表示程式碼中存在依賴性問題。確保在專案中正確引用SqlCommand 類別。 ASP.Net 應用程式中的 SQL 注入攻擊。

以上是如何保護我的 ASP.NET 應用程式免受 SQL 注入攻擊？的詳細內容。更多資訊請關注PHP中文網其他相關文章！