Melindungi Aplikasi C# Anda daripada Serangan Injeksi SQL
Suntikan SQL kekal sebagai ancaman keselamatan yang kritikal. Artikel ini memperincikan strategi berkesan untuk melindungi aplikasi C# anda daripada kerentanan ini.
Pertanyaan Berparameter: Kunci Pencegahan
Pertahanan paling teguh terhadap suntikan SQL ialah menggunakan pertanyaan berparameter. Kelas SqlCommand dan pengumpulan parameternya mengendalikan sanitasi data secara automatik, menghapuskan risiko ralat manual dan kelemahan.
Contoh Ilustrasi:
Coretan kod berikut mempamerkan penggunaan parameter dalam aplikasi C#:
<code class="language-csharp">private static void UpdateDemographics(Int32 customerID,
string demoXml, string connectionString)
{
// Update store demographics stored in an XML column.
string commandText = "UPDATE Sales.Store SET Demographics = @demographics "
+ "WHERE CustomerID = @ID;";
using (SqlConnection connection = new SqlConnection(connectionString))
{
SqlCommand command = new SqlCommand(commandText, connection);
command.Parameters.Add("@ID", SqlDbType.Int);
command.Parameters["@ID"].Value = customerID;
// AddWithValue handles implicit XML string conversion by SQL Server.
command.Parameters.AddWithValue("@demographics", demoXml);
try
{
connection.Open();
Int32 rowsAffected = command.ExecuteNonQuery();
Console.WriteLine("RowsAffected: {0}", rowsAffected);
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
}
}
}</code>Contoh ini menggunakan parameter untuk kedua-dua customerID dan demoXml, menghalang kelemahan suntikan SQL yang wujud dalam membina pertanyaan SQL secara manual. Kaedah ini memastikan integriti data dan keselamatan aplikasi.
Atas ialah kandungan terperinci Bagaimanakah saya boleh mengelakkan suntikan SQL dalam aplikasi C# saya?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
