Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Penyata INSERT dengan Komen Kotak Teks?-tutorial mysql-php.cn

Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Penyata INSERT dengan Komen Kotak Teks?

Mary-Kate Olsen

Lepaskan： 2025-01-01 07:50:10

asal

190 orang telah melayarinya

How Can I Prevent SQL Injection in INSERT Statements with Textbox Comments?

SQL Injection Prevention on INSERT Statements with Textbox Comments

Kerentanan suntikan SQL boleh timbul dalam sebarang pernyataan SQL, termasuk pernyataan INSERT, jika tidak dikendalikan dengan betul.

Dalam konteks pernyataan INSERT, serangan suntikan SQL boleh berlaku apabila input yang tidak dipercayai, seperti ulasan yang dimasukkan oleh pengguna dalam kotak teks, digabungkan secara langsung ke dalam pertanyaan SQL tanpa sanitasi atau pengesahan yang betul.

Contoh Serangan Suntikan SQL

Pertimbangkan jadual ulasan yang dipermudahkan dengan dua medan: ID integer dan rentetan ulasan. Pernyataan INSERT untuk menambah ulasan baharu mungkin kelihatan seperti ini:

INSERT INTO COMMENTS VALUES(122, 'I like this website');

Salin selepas log masuk

Walau bagaimanapun, jika pengguna berniat jahat memasukkan ulasan berikut:

'); DELETE FROM users; --

Salin selepas log masuk

Pernyataan SQL, tanpa sebarang pemprosesan, akan menjadi:

INSERT INTO COMMENTS VALUES(123, ''); DELETE FROM users; -- ');

Salin selepas log masuk

Ini akan mengakibatkan pengguna bukan sahaja menambah ulasan tetapi juga melaksanakan perintah SQL berniat jahat yang memadamkan semua rekod daripada jadual 'pengguna'.

Perlindungan Terhadap SQL Injection

Untuk mengelakkan serangan suntikan SQL, adalah penting untuk menggunakan pernyataan SQL berparameter. Pernyataan ini menggunakan ruang letak untuk input yang tidak dipercayai dan pangkalan data secara automatik mengendalikan pemasukan input ke dalam pertanyaan SQL.

Dalam .NET 2.0, anda boleh menggunakan kelas SqlCommand untuk melaksanakan pernyataan SQL berparameter. Sebagai contoh, kod berikut akan memasukkan ulasan menggunakan pernyataan SQL berparameter:

using (SqlConnection connection = new SqlConnection("connectionString"))
{
    connection.Open();

    using (SqlCommand command = new SqlCommand("INSERT INTO COMMENTS VALUES (@Id, @Comment)", connection))
    {
        command.Parameters.AddWithValue("@Id", 123);
        command.Parameters.AddWithValue("@Comment", comment);
        command.ExecuteNonQuery();
    }
}

Salin selepas log masuk

Dengan menggunakan pernyataan SQL berparameter, anda boleh mencegah serangan suntikan SQL dengan berkesan dengan memastikan input berniat jahat dikendalikan dengan selamat dan tidak menjejaskan integriti pangkalan data anda.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Penyata INSERT dengan Komen Kotak Teks?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!