el_tot93 Ответов: 4

Каков безопасный или правильный способ сделать обновление

           SqlConnection con = new SqlConnection("Data Source=DESKTOP-J7D5POF;Initial Catalog=ilswork;Persist Security Info=True;User ID=*****;Password=**********;Connect Timeout=60");
           con.Open();
           string query = "UPDATE tabl set username='" + txtusername.Text + "',status='" + comboBox1.Text + "',Time='" + txttime.Text + "',clock='" + txtclock.Text + "',type='" + textBox2.Text + "' where CIVILIDD='" + txtCIVILIDD.Text + "'";
           SqlDataAdapter sda = new SqlDataAdapter(query, con);
           sda.SelectCommand.ExecuteNonQuery();


           con.Close();
           mycon.Close();
MessageBox.Show("record updated successfully");


Что я уже пробовал:

я хочу научиться безопасному или правильному способу

4 Ответов

Рейтинг:
30

OriginalGriff

Только не это! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?


Цитата:
какие параметризованные запросы я должен делать к своему коду


Вот вам пример:
using (SqlConnection con = new SqlConnection(strConnect))
    {
    con.Open();
    using (SqlCommand com = new SqlCommand("UPDATE myTable SET myColumn1=@C1, myColumn2=@C2 WHERE Id=@ID", con))
        {
        com.Parameters.AddWithValue("@ID", id);
        com.Parameters.AddWithValue("@C1", myValueForColumn1);
        com.Parameters.AddWithValue("@C2", myValueForColumn2);
        com.ExecuteNonQuery();
        }
    }

el_tot93

какие параметризованные запросы я должен делать к своему коду

OriginalGriff

Ответ обновлен.

el_tot93

что такое strConnect

OriginalGriff

Сколько предположений вы хотите? :смеяться:
Подумайте о названии, и вы, возможно, сможете понять его...

el_tot93

или как это будет мне нравиться не могли бы вы показать мне что вы можете это сделать

Рейтинг:
2

Wendelius

Чтобы добавить несколько пунктов к предыдущим ответам
- Использовать блоки для всех удаляемых объектов
- Держите соединение открытым как можно меньше времени
- Используйте try..catch блоки для ошибок
- Исследовать вернуть valus

И, конечно, все, что уже было указано.

Если вам интересно, взгляните на Правильное выполнение операций с базой данных[^]

Рейтинг:
1

MadMyche

Вот основы того, как это выглядит с помощью параметры

SqlConnection con = new SqlConnection( /*your connection string*/ );
			
string query = "UPDATE tabl SET username=@username, status=@status, Time=@Time, clock=@clock, type=@type WHERE CIVILIDD=@CIVILIDD";

SqlCommand cmd = new SqlCommand(query, con);

cmd.Parameters.AddWithValue("@username", txtusername.Text);
// continue with the rest of parameters

con.Open();
cmd.ExecuteNonQuery();
con.Close();


1 - очевидно, вам нужно будет заполнить остальные параметры.
2 - й AddWithValue метод настроит значения SQL (nvarchar, int) на основе типов значений, применяемых в (например, txtUsername.text)
3 - Вам не нужен адаптер данных, просто Sql-команда
4 - я бы рекомендовал использовать using блок для инкапсуляции объекта SqlConnection. Это облегчит уборку.

el_tot93

вы рекомендуете использовать блок using для инкапсуляции объекта SqlConnection как это делается

el_tot93

Ошибка преобразования типа данных nvarchar в bigint.

MadMyche

AddWithValue() добавляет элементы с типом SQL на основе введенного вами типа; если элемент, поступающий из текстового поля, должен быть Sql BigInt, то вам нужно будет преобразовать его до или при добавлении { eg (Int64)textbox.text }

Wendelius

Чрезвычайно веские аргументы.

el_tot93

это неверно я дал мне эту ошибку

Рейтинг:
0

Patrice T 

string query = "UPDATE tabl set username='" + txtusername.Text + "',status='" + comboBox1.Text + "',Time='" + txttime.Text + "',clock='" + txtclock.Text + "',type='" + textBox2.Text + "' where CIVILIDD='" + txtCIVILIDD.Text + "'";

Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]