sql注入举个简单的例子吧,假设这是一个查询功能,我现在想忽略where直接查询所有,那么下面是示范案例
假如代码是
[HttpPost("x")]
public string xxxx(string name){
string sql=$"select * from table1 where name='{name}'";
sqlexec.exec(sql);
}
那么注入 允许任何条件就是输入
' or '' ='
防注入法1:
执行sql,不改成拼接,而是使用@+参数化 ,如果已经写了很多了,此时再改起来也麻烦,由于基于目前的环境是内网环境使用,故暂时不需要重构全部升级此代码。
string connectionString = "your_connection_string";
string queryString = "SELECT * FROM Users WHERE Username = @Username";
using (SqlConnection connection = new SqlConnection(connectionString))
{
SqlCommand command = new SqlCommand(queryString, connection);
command.Parameters.AddWithValue("@Username", "some potentially unsafe input"); // 假设这是从用户输入获取的
try
{
connection.Open();
SqlDataReader reader = command.ExecuteReader();
// ... 处理查询结果 ...
}
catch (Exception ex)
{
// 处理异常
}
}
方法2:
使用Entity Framework Core,很显然此法侵入性太强,需要改动原有很多东西,无法一刀切。
var name = "some potentially unsafe input"; // 假设这是从用户输入获取的
var users = _context.Users.Where(u => u.Name == name).ToList();
防止注入法3 ,中间件 检查,在请求之前检查get ,post参数,我比较偷懒 方法1 ,2 对我来说太过麻烦。频繁使用显然太繁琐了。
方法3:
网友评论