dane Dezynfekcja SQL

Question

Google zamienia się wszelkiego rodzaju dyskusje na temat odkażania zapytania o dostęp do sieci, ale nie jestem znalezienie czegokolwiek adresowania co Martwię się:

odkażania danych wejściowych użytkownika w programie C#. Trzeba to zrobić poprzez przemianę odwracalną, a nie przez usunięcie. Jako prosty przykład problemu nie chcę manipulować irlandzkimi nazwami.

Jakie jest najlepsze podejście i czy istnieje jakaś funkcja biblioteczna, która to robi?

Answer 1

To zależy od bazy danych SQL, z której korzystasz. Na przykład, jeśli chcesz użyć pojedynczego cudzysłowu w MySQL, musisz użyć odwrotnego ukośnika, Dangerous: ' i literą Escape Escape: \'. W przypadku MS-SQL rzeczy są zupełnie inne, Dangerous: ' uciekł: ''. Nic nie jest usuwane, gdy w ten sposób unika się danych, to sposób reprezentowania postaci kontrolnej, takiej jak znak zapytania w jej dosłowności.

Oto przykład z użyciem sparametryzowanych kwerend dla MS-SQL i C#, zaczerpnięte z Docs:

private static void UpdateDemographics(Int32 customerID, 
    string demoXml, string connectionString) 
{ 
    // Update the demographics for a store, which is stored 
    // in an xml column. 
    string commandText = "UPDATE Sales.Store SET Demographics = @demographics " 
     + "WHERE CustomerID = @ID;"; 

    using (SqlConnection connection = new SqlConnection(connectionString)) 
    { 
     SqlCommand command = new SqlCommand(commandText, connection); 
     command.Parameters.Add("@ID", SqlDbType.Int); 
     command.Parameters["@ID"].Value = customerID; 

     // Use AddWithValue to assign Demographics. 
     // SQL Server will implicitly convert strings into XML. 
     command.Parameters.AddWithValue("@demographics", demoXml); 

     try 
     { 
      connection.Open(); 
      Int32 rowsAffected = command.ExecuteNonQuery(); 
      Console.WriteLine("RowsAffected: {0}", rowsAffected); 
     } 
     catch (Exception ex) 
     { 
      Console.WriteLine(ex.Message); 
     } 
    } 
} 

MySQL nie jestem świadomy sparametryzowane biblioteki zapytań można wykorzystać. Należy użyć mysql_real_escape_string() lub opointally można użyć tej funkcji .:

public static string MySqlEscape(this string usString) 
{ 
    if (usString == null) 
    { 
     return null; 
    } 
    // SQL Encoding for MySQL Recommended here: 
    // http://au.php.net/manual/en/function.mysql-real-escape-string.php 
    // it escapes \r, \n, \x00, \x1a, baskslash, single quotes, and double quotes 
    return Regex.Replace(usString, @"[\r\n\x00\x1a\\'""]", @"\$0"); 
} 

Answer 2

Użyj prawidłowo skonstruowanego obiektu DAL z obiektami SQL Parameter przekazanymi do procedur składowanych i nie musisz się tym martwić. Zaimplementuj obiekty biznesowe i dal, aby streścić dane wejściowe użytkownika na tyle, aby nie były wykonywane jako SQL, ale raczej rozpoznane jako wartości. przykłady są zabawne:

public class SomeDal 
{ 
    public void CreateUser(User userToBeCreated) 
    { 
     using(connection bla bla) 
     { 
      // create and execute a command object filling its parameters with data from the User object 
     } 
    } 
} 

public class User 
{ 
    public string Name { get; set; } 
    ... 
} 

public class UserBL 
{ 
    public CreateUser(User userToBeCreated) 
    { 
     SomeDal myDal = new SomeDal(); 
     myDal.CreateUser(userToBeCreated); 
    } 
} 

public class SomeUI 
{ 
    public void HandleCreateClick(object sender, e ButtonClickEventArgs) 
    { 
     User userToBeCreated = new User() { Name = txtName.Text }; 
     UserBL userBl = new UserBL(); 
     userBl.CreateUser(userToBeCreated); 
    } 
}