Possible Duplicate:
Can I protect against SQL Injection by escaping single-quote and surrounding user input with single-quotes?
我只想知道,如果我将用户输入中的每个 ' 替换为 '',例如 string.Replace("'","' '"),并验证数字(确保它们是数字,并且不包含任何其他字符),SQL 注入(inject)是否仍然可能?怎么办?
我正在使用动态 SQL 查询,使用 SqlCommand。像这样:
cmd.CommandText = "SELECT * FROM myTable WHERE ID = " + theID.ToString();
或
cmd.CommandText = "UPDATE myTable SET title='" + title.Replace("'","''") + "' WHERE ID = " + theID.ToString();
在 ASP.NET MVC 中输入整数会自动验证(检查它们是否为实数)。
如果这是一个以这种方式编码的遗留项目,那么虽然不是最优的,但我目前不知道有任何方式它可能容易受到 SQL 注入(inject)的影响,只要每个字符串都以这种方式处理并且查询正如您所展示的那样只是简单的。
然而,我不能说比这更确定的了。如果不使用参数化查询,则始终可能存在您尚未考虑的一些漏洞。
自己手动转义引号很容易出错,有时会以难以提前预料的方式失败。例如下表
CREATE TABLE myTable(title VARCHAR(100))
INSERT INTO myTable VALUES('Foo')
以及使用通过字符串连接构建的动态 SQL 的存储过程
CREATE PROC UpdateMyTable
@newtitle NVARCHAR(100)
AS
/*
Double up any single quotes
*/
SET @newtitle = REPLACE(@newtitle, '''','''''')
DECLARE @UpdateStatement VARCHAR(MAX)
SET @UpdateStatement = 'UPDATE myTable SET title=''' + @newtitle + ''''
EXEC(@UpdateStatement)
你可以试试下面的方法
正常更新
EXEC UpdateMyTable N'Foo'
SELECT * FROM myTable /*Returns "Foo"*/
SQL 注入(inject)尝试被挫败
EXEC UpdateMyTable N''';DROP TABLE myTable--'
SELECT * FROM myTable /*Returns "';DROP TABLE myTable--"*/
SQL 注入(inject)尝试成功并删除了表
EXEC UpdateMyTable N'ʼ;DROP TABLE myTable--'
SELECT * FROM myTable /*Returns "Invalid object name 'myTable'."*/
这里的问题是第三个查询通过了 U+02BC而不是标准的撇号,然后在清理发生后将字符串分配给 varchar(max),这会默默地将其转换为常规的撇号。
直到我读到 the answer here我永远不会想到这个问题。