我们在这里正在讨论有关在代码中使用参数化的sql查询的另一讨论。我们在讨论中有两个方面:我和其他一些人说我们应该始终使用参数来防止sql注入,而其他人则认为不需要。相反,他们希望在所有字符串中用两个撇号替换单个撇号,以避免sql注入。我们的数据库都运行Sql Server 2005或2008,我们的代码库在.NET Framework 2.0上运行。
让我给您一个简单的C#示例:
我希望我们使用这个:
string sql = "SELECT * FROM Users WHERE Name=@name"; SqlCommand getUser = new SqlCommand(sql, connection); getUser.Parameters.AddWithValue("@name", userName); //... blabla - do something here, this is safe
其他人想这样做时:
string sql = "SELECT * FROM Users WHERE Name=" + SafeDBString(name); SqlCommand getUser = new SqlCommand(sql, connection); //... blabla - are we safe now?
SafeDBString函数的定义如下:
string SafeDBString(string inputValue) { return "'" + inputValue.Replace("'", "''") + "'"; }
现在,只要对查询中的所有字符串值都使用SafeDBString,我们就应该是安全的。对?
使用SafeDBString函数有两个原因。首先,这是自石器时代以来一直采用的方法,其次,由于您看到了在数据库上运行的exact查询,因此调试sql语句更容易。
那就这样 我的问题是,使用SafeDBString函数是否足以避免sql注入攻击,是否真的足够。我一直在尝试查找破坏此安全措施的代码示例,但找不到任何示例。
有没有人可以打破这一点?你会怎么做?
编辑: 总结到目前为止的答复:
因此,尽管没有人能够破坏SafeDBString函数的简单安全性,但我得到了许多其他很好的论据。谢谢!
我认为正确的答案是:
不要试图自己做安全措施 。使用任何受信任的行业标准库,您都可以使用它来做您想做的事情,而不是自己 尝试 做。无论您对安全性做出什么假设,都可能是错误的。尽管您自己的方法看起来很安全(但看起来充其量只是摇摇欲坠),但是您有可能忽略某些东西,而在安全性方面您真的想抓住这个机会吗?
使用参数。