即使有用户注释，INSERT 语句中如何也会发生 SQL 注入？如何预防？

带注释的 INSERT 语句上的 SQL 注入

开发 Web 应用程序时，防止 SQL 注入至关重要，即使是像这样的所谓安全操作包含用户输入的 INSERT 语句。

在此特定场景中，调查 Web 表单包含文本框对于注释来说，如果注释输入处理不安全，确实会发生 SQL 注入。假设用户提交以下恶意评论：

'); DELETE FROM users; --

如果用于插入此评论的 SQL 语句是天真的构造的，则可能会导致未经授权删除所有用户记录：

INSERT INTO COMMENTS VALUES(123, '"); DELETE FROM users; -- ');

为了防止此类攻击，必须使用参数化 SQL 语句，该语句不会将用户输入连接到查询字符串中。在 .NET 2.0 中，您可以使用带参数的 SqlCommand 类。例如：

string comment = "..."; // User input
int id = 123;
string sql = "INSERT INTO COMMENTS (ID, Comment) VALUES (@id, @comment)";
SqlCommand command = new SqlCommand(sql, connection);
command.Parameters.AddWithValue("@id", id);
command.Parameters.AddWithValue("@comment", comment);
command.ExecuteNonQuery();

• @id 和 @comment 参数充当将插入的值的占位符。
• AddWithValue 方法会自动处理参数转义并确保恶意输入不会被解释为 SQL 命令。

通过使用参数化 SQL 语句，您可以保持良好的编码实践，防止 SQL 注入，并防止在您的调查网页上进行未经授权的数据操作。

以上是即使有用户注释，INSERT 语句中如何也会发生 SQL 注入？如何预防？的详细内容。更多信息请关注PHP中文网其他相关文章！