SQL paramétré: une défense cruciale contre l'injection SQL
La sécurité de la base de données est primordiale, surtout lorsqu'il s'agit d'entrées externes des applications Web ou de bureau. Les instructions SQL paramétrées sont une pierre angulaire d'une interaction de base de données robuste, empêchant efficacement les attaques d'injection SQL.
Considérons une requête SQL vulnérable:
<code class="language-sql">SELECT empSalary FROM employee WHERE salary = txtSalary.Text</code>
Un utilisateur malveillant pourrait saisir 0 OR 1=1, récupérer tous les salaires. Encore plus dangereux, une entrée comme 0; DROP TABLE employee pourrait entraîner une perte de données.
Les requêtes paramétrées offrent une solution. Ils utilisent des espaces réservés pour les données fournies par l'utilisateur, isolant l'entrée de la commande SQL elle-même.
Voici comment cela fonctionne en C #:
<code class="language-csharp">string sql = "SELECT empSalary FROM employee WHERE salary = @salary";
using (SqlConnection connection = new SqlConnection(/* connection info */))
using (SqlCommand command = new SqlCommand(sql, connection))
{
SqlParameter salaryParam = new SqlParameter("salary", SqlDbType.Money);
salaryParam.Value = txtMoney.Text;
command.Parameters.Add(salaryParam);
SqlDataReader results = command.ExecuteReader();
}</code>et dans Visual Basic .NET:
<code class="language-vb.net">Dim sql As String = "SELECT empSalary FROM employee WHERE salary = @salary"
Using connection As New SqlConnection("connectionString")
Using command As New SqlCommand(sql, connection)
Dim salaryParam = New SqlParameter("salary", SqlDbType.Money)
salaryParam.Value = txtMoney.Text
command.Parameters.Add(salaryParam)
Dim results = command.ExecuteReader()
End Using
End Using</code> La clé est que la base de données traite @salary comme une valeur de données, et non comme un code exécutable. Cela empêche le code malveillant d'être interprété comme des commandes SQL. L'utilisation de requêtes paramétrées renforce considérablement la sécurité de la base de données, atténuant le risque de violations de données et de compromis système.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
La différence entre nohup et &
erreur de script
Quels sont les serveurs exemptés d'enregistrement ?
Combien de personnes pouvez-vous élever sur Douyin ?
Comment augmenter le nombre de fans de Douyin rapidement et efficacement
Quelles sont les commandes d'arrêt de Linux ?
Base de données trois paradigmes
Classement des applications de la plateforme de trading de devises virtuelles
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
