如何防止 C# 應用程式中的 SQL 注入？

強化 C# 應用程序抵禦 SQL 注入攻擊：實用指南

SQL 注入仍然是與 SQL 數據庫交互的應用程序的一個嚴重漏洞。 本指南概述了保護您的 C# 應用程序免受此威脅的強大策略。

參數化查詢：防禦的基石

針對 SQL 注入最有效的防禦方法是使用參數化查詢。 此技術避免了直接字符串連接，從而防止惡意代碼被解釋為 SQL 命令。 在 C# 中，利用 SqlCommand 及其參數集合：

private static void UpdateDemographics(Int32 customerID, string demoXml, string connectionString)
{
    string commandText = "UPDATE Sales.Store SET Demographics = @demographics WHERE CustomerID = @ID;";

    using (SqlConnection connection = new SqlConnection(connectionString))
    {
        SqlCommand command = new SqlCommand(commandText, connection);
        command.Parameters.Add("@ID", SqlDbType.Int).Value = customerID;
        command.Parameters.AddWithValue("@demographics", demoXml);

        try
        {
            connection.Open();
            Int32 rowsAffected = command.ExecuteNonQuery();
            Console.WriteLine($"RowsAffected: {rowsAffected}");
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
        }
    }
}

注意 @ID 和 @demographics 如何充當佔位符，安全地處理用戶輸入。

輸入驗證：多層方法

徹底的輸入驗證至關重要。 實施檢查以確保數據符合預期格式：

• 電子郵件驗證：使用正則表達式進行準確的電子郵件格式驗證。
• 名稱驗證：限制輸入字母數字字符和空格。
• 特殊字符清理：刪除或編碼可能被利用的特殊字符。

利用 .NET 的內置安全功能

.NET 提供了強大的工具來增強 SQL 注入防護：

• 數據註釋和 SqlFilterAttribute: 使用數據註釋在模型級別過濾輸入，限制綁定到 SQL 參數的數據。
• SqlCommand.EscapeKeywords（謹慎使用）： 雖然此方法可以對特殊字符進行編碼，但它通常不如參數化查詢那麼受歡迎。 請謹慎使用，僅作為補充措施。

結論

通過一致地實現參數化查詢、嚴格的輸入驗證以及利用 .NET 的安全功能，開發人員可以顯著降低 C# 應用程序中 SQL 注入漏洞的風險，從而保護他們的數據庫系統和用戶數據。

以上是如何防止 C# 應用程式中的 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！