c# – SQL注入漏洞
发布时间:2020-12-16 00:01:48 所属栏目:百科 来源:网络整理
导读:我们有一个ASP.NET / C#网站.我们的开发人员在亚洲离岸,我发现他们已经在网站前端放置了原始SQL. 我担心我们现在容易受到SQL注入攻击.有谁知道如何检测网站上的漏洞以及关闭它们的最佳方法是什么? 解决方法 尝试从前面检测漏洞可能会有所帮助,但实际上您应
|
我们有一个ASP.NET / C#网站.我们的开发人员在亚洲离岸,我发现他们已经在网站前端放置了原始SQL.
我担心我们现在容易受到SQL注入攻击.有谁知道如何检测网站上的漏洞以及关闭它们的最佳方法是什么? 解决方法
尝试从前面检测漏洞可能会有所帮助,但实际上您应该查看代码,特别是与DbCommand,SqlCommand等相关的所有代码.关键点,如您所知,永远不会将用户输入连接到查询,但要参数化.有很好的工具可以使这种参数化变得容易 – 或者至少比手动操作更容易.例如,如果您有:
using(var cmd = conn.CreateCommand()) {
cmd.CommandText = "delete from Orders where id = " + id;
cmd.ExecuteNonQuery();
}
那么像dapper-dot-net这样的工具将允许你做以下事情: conn.Execute("delete from Orders where id = @id",new {id});
这是一个较少的代码,主要是复制粘贴,但完全注入安全,并允许查询计划重复使用. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |