栏目导航
热点推荐
- MySQL数据库优化总结
- mysql排序的妙用(类似置顶)
- 优化MySQL的数据库性能的八种方
- MySQL配置文件my.cnf中文版
- linux下mysql命令
- 如何用MySQL-Front远程连接MySql
- 如何修改MySQL 5.1 data文件夹路
- Linux mysql安装修改root密码服
- MySQL Server 5.0安装教程(图解)
- PHP中的MYSQL常用函数
- mysql常见错误提示及解决方法
- MySQL常见错误问答!
阅览排行
加固SQL参数与存储过程
www.jz123.cn 2012-03-06 来源: 站长家园 责任编辑(袁袁) 我要投递新闻
SQL参数与存储过程
SQL参数是开发人员很容易忽视的一个环节,通常直接完成SQL语句,然后传递给数据库执行。这样的写法固然简单,但是也为注入攻击埋下了伏笔。如果要避免注入攻击,就要对SQL语句进行专门的过滤处理,但如果直接使用SQL参数对象就可以省去以上 环节。
SQL中的Parameters集合提供了类型检查和长度验证。如果研发人员使用Parameters集合,输入将被视为文本值进行处理,SQL不会将它视为可执行代码。使用Parameters集合的另一个好处是可以实施类型和长度检查,如果值超出范围将触发异常。这是纵深防范的一个好例子。尽可能地使用存储过程,而且应该通过Parameters集合调用它们。
下面通过几行代码说明如何使用参数集合对象,读者注意@au_id参数将被当作文本值而不是可执行代码。同样,对参数将进行类型和长度检查。在下面的示例中,输入值不能长于11个字符。如果数据不遵守参数所定义的类型或者长度,将出现异常。
Parameters集合演示代码如下:
SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin",conn);
myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;
SqlParameter parm = myCommand.SelectCommand.Parameters.Add(
"@au_id",SqlDbType.VarChar,11);
parm.Value = Login.Text;
请读者注意,使用存储过程并不一定能防止SQL注入。重要的是在存储过程中使用参数对象。如果不使用参数,存储过程使用未经筛选的输入时,就很容易遭到SQL注入攻击。例如,以下代码片段就存在问题:
SqlDataAdapter myCommand = new SqlDataAdapter("LoginStoredProcedure '" +
Login.Text + "'", conn);
正确的代码片段如下所示:
SqlDataAdapter myCommand = new SqlDataAdapter(
"SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id",conn);
SqlParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id",
SqlDbType.VarChar,11);
parm.Value = Login.Text;
上一篇:利用SQLyogEnt对Mysql数据库进行转移 下一篇:mysql int范围与最大值分析