sai.2012 Ответов: 5

Как проверить http URL в C#, чтобы избежать атак SQL-инъекций в c#.net в vs 2013

Привет,

У меня есть одна строковая переменная sstateUrl= "http://abcd.com/url"

поэтому я хочу проверить этот sstateUrl, чтобы избежать sqlinjection.

Как это сделать, пожалуйста, дайте мне идею.

Что я уже пробовал:

Как проверить http URL в c#, чтобы избежать атак SQL-инъекций в c#.net в vs 2013

5 Ответов

Рейтинг:
2

David_Wimbley

При написании запросов insert необходимо учитывать параметризацию.

Как выполнить параметризованный запрос[^]

Параметризованные Запросы ADO.Net[^]

Как: защита от SQL-инъекций в ASP.NET[^] - этот говорит asp.net конкретные, но применимые концепции применимы по всем направлениям.

Рейтинг:
2

sai.2012

Спасибо Вам, Дэйв и Дэвид.

нужно сделать
1. Проверьте url-адрес
2. добавить к строке
3. нужно зашифровать


на самом деле я должен сделать проверку URL-адреса в своем коде, который является частью документа требований.

Richard Deeming

Если вы хотите ответить на решение, нажмите кнопку "есть вопрос или комментарий?" кнопка под этим решением.

НЕ опубликуйте свой комментарий как новое "решение".

Рейтинг:
0

Dave Kreskowiak

Просто, ты не знаешь. Не беспокойтесь об URL. Вместо того, чтобы беспокоиться о запросе, как уже упоминалось David_Wimbley.

Просто глядя на URL-адрес, вы ничего не сделаете в тех случаях, когда пользовательский ввод в ваши текстовые поля также может быть вредным.

Рейтинг:
0

Patrice T

Цитата:
У меня есть одна строковая переменная sstateUrl= "http://abcd.com/url"
поэтому я хочу проверить этот sstateUrl, чтобы избежать sqlinjection.

Так не бывает. Вы не защищаете SQL-запросы от инъекции, проверяя текст, который будет объединен в запросе.
SQL-инъекция - это когда вы строите SQL-запрос путем объединения частей с пользовательским вводом, поскольку конечным результатом является SQL-запрос, а пользовательский ввод продвигается в SQL-код, легальный ввод может привести к сбою вашего SQL-запроса, вредоносный ввод может привести к сбою или уничтожению вашей базы данных.

Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь уязвимости под названием "SQL injection", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа рухнет. Если пользователь вводит имя типа "Брайан О'Коннер", это может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция-Википедия[^]
SQL-инъекция[^]

Рейтинг:
0

sai.2012

Ок Спасибо Ppolymorphe.

OK Thank you Ppolymorphe