J'ai des champs qui sont du texte libre et permettent à peu près n'importe quelle combinaison de nombres/symboles. Quel est le meilleur moyen de les valider pour empêcher l'injection SQL? Puis-je exécuter un simple remplacement des graduations? Y a-t-il une méthode que je peux brancher pour l'utiliser? Utilisez simplement les requêtes paramétrées!Méthode de filtre d'injection SQL pour ASP.NET
Répondre
Consultez cet article ici: http://www.functionx.com/aspnet/sqlserver/parameterized.htm
Il existe différentes méthodes décrites ici: How To: Protect From SQL Injection in ASP.NET
citation:
contremesures comprennent l'utilisation d'une liste de caractères acceptables pour limiter l'entrée, en utilisant SQL paramétrées pour l'accès aux données , et en utilisant un compte moins privilégié qui a des autorisations restreintes dans la base de données. L'utilisation de procédures stockées avec SQL paramétré est l'approche recommandée car les paramètres SQL sont de type safe. Les paramètres SQL de type sécurité peuvent également être utilisés avec SQL dynamique. Dans les situations où le SQL paramétré ne peut pas être utilisé, pensez à utiliser des techniques d'échappement de caractères.
Les contrôles de validation peuvent vous aider, bien qu'ils soient exécutés côté serveur, et non côté client. ASP.NET a aussi une certaine protection intégrée, mais je ne me fierais pas à elle seule.
- 1. Filtre de réponse asp.net
- 2. Requête de filtre SQL
- 3. Filtre de requête SQL select
- 4. résultat SQL filtre instruction
- 5. SQL: filtre par date
- 6. sql simple sproc - filtre
- 7. Filtre TextBox ASP.NET
- 8. ASP.NET MVC: Comment créer ViewData pour un filtre d'exception
- 9. filtre JSON (comme SQL SELECT)
- 10. Asp.net Report Viewer - Paramètres de filtre personnalisés
- 11. ASP.Net DataView clarification du filtre
- 12. t-sql select filtre de requête
- 13. Fonction de filtre d'index SQL Server 2005
- 14. LINQ to filtre SQL sortie combobox
- 15. Modèle de filtre personnalisé ASP.NET Dynamic Data TextSearch
- 16. Exécuter une méthode ASP.net de méthode JavaScript
- 17. filtre Querystring pour PerformancePoint
- 18. Filtre ASP.NET MVC action Redirect boucle
- 19. méthode Scala qui retourne plusieurs fonctions de filtre concaténés
- 20. Filtre Lingo pour Doxygène?
- 21. Filtre de réponse ASP.NET pour reformater la sortie rendue des pages ASPX?
- 22. Filtre d'action globale dans ASP.NET MVC
- 23. Filtre de données de contrôle de liste asp.net
- 24. Traduire SQL requête LINQ - groupe/join/filtre
- 25. Filtre pour plusieurs types de fichiers
- 26. Ajout d'un paramètre de filtre au filtre de flux lors de l'utilisation du filtre php: //
- 27. commutateur de jeu pour déclencher pour la gestion des exceptions filtre personnalisé dans asp.net mvc
- 28. asp.net mvc exception personnalisée filtre pour forcer un retour de vue complète, pas partielle
- 29. SQL: filtre sur une combinaison de deux valeurs de colonne
- 30. CreateInstance de la méthode nécessaire pour un filtre source dans DirectShow?
Les requêtes paramétrées sont une ligne de défense, mais vous pouvez toujours les utiliser et vous rendre vulnérable. Consultez cet article: http://www.owasp.org/index.php/Guide_to_SQL_Injection et mettez en signet le site OWASP pour toutes vos questions de sécurité. C'est un très bon endroit pour apprendre. – David
@David: autant que je sache, le seul problème potentiel avec les requêtes paramétrées ou les procédures stockées est si vous utilisez SQL dynamique. "Alors, ne fais pas ça!". –
@John Saunders - Absolument! Je voudrais juste faire référence à tout le monde avec une question de sécurité sur le site d'OWASP. Pour l'instant c'est la ressource la plus complète que j'ai trouvée sur le sujet. – David