Quelles seront les meilleures pratiques dans mon code pour empêcher l'injection SQL?

touhidalam69

Quelles seront les meilleures pratiques pour empêcher l'injection SQL? Mon client m'a demandé d'empêcher l'injection SQL. J'ai utilisé cette structure pour insérer ou mettre à jour des données

public bool Add(GreenItem aGreenItem, Employee emp)
        {
            aGreenItem.GreenItemCode = new CommonBLL().GetMaxId("[GreenItemCode]", "[Processing].[GreenItem]", "GTM");
            using (SqlConnection objConnection = Connection.GetConnection())
            {
                SqlTransaction transaction = objConnection.BeginTransaction("SampleTransaction");
                try
                {
                    string query = aGreenItem.GreenItemId == 0 ? "GreenItem_Create" : "GreenItem_Update";
                    SqlCommand sqCmd = new SqlCommand(query, objConnection, transaction);
                    sqCmd.CommandType = CommandType.StoredProcedure;
                    if (aGreenItem.GreenItemId > 0)
                    {
                        sqCmd.Parameters.AddWithValue("@GreenItemId", aGreenItem.GreenItemId);
                    }
                    else
                    {
                        sqCmd.Parameters.AddWithValue("@GreenItemCode", aGreenItem.GreenItemCode);
                    }

                    sqCmd.Parameters.AddWithValue("@GreenItemName", aGreenItem.GreenItemName);
                    sqCmd.Parameters.AddWithValue("@MeasurementUnitId", aGreenItem.MeasurementUnitId);                    
                    sqCmd.Parameters.AddWithValue("@Description", aGreenItem.Description);
                    sqCmd.Parameters.AddWithValue("@IsActive", aGreenItem.IsActive);
                    sqCmd.Parameters.AddWithValue("@GLTId", emp.GLTId);
                    sqCmd.Parameters.AddWithValue("@CreatorId", emp.EmployeeId);
                    sqCmd.ExecuteNonQuery();
                    transaction.Commit();
                    return true;
                }
                catch
                {
                    transaction.Rollback();
                    return false;
                }
            }
        }

J'ai utilisé cette fonction pour obtenir l'ID Max qui est appelé à partir de la fonction ci-dessus

public string GetMaxId(string coloumName, string tableName, string prefix)
        {
            string maxId = ""; string selectQuery = "SELECT '" + prefix + "'+RIGHT('0000000000'+ CONVERT(VARCHAR,ISNULL(MAX(RIGHT(" + coloumName + ",10)), 0)+1,10),10) maxID FROM " + tableName + " ";
            using (SqlConnection objConnection = Connection.GetConnection())
            {
                SqlCommand sqCmd = new SqlCommand(selectQuery, objConnection); sqCmd.CommandType = CommandType.Text;
                using (IDataReader dataReader = sqCmd.ExecuteReader())
                {
                    while (dataReader.Read())
                    {
                        maxId = dataReader["maxID"].ToString();
                    }
                }
                objConnection.Close();
            }

            return maxId;
        }

À quoi faut-il ajouter pour obtenir le meilleur résultat?

Marc Gravell

Avec SQL Server, éviter l'injection SQL se résume à une chose simple

utiliser des paramètres, plutôt que la concaténation, pour toutes les entrées

Vous faites déjà cela dans le code que nous pouvons voir, donc: excellent travail jusqu'à présent.

Les gens disent souvent à tort «utiliser des procédures stockées» pour éviter l'injection SQL, mais les «procédures stockées» et «l'injection SQL» sont en fait entièrement orthogonales - vous pouvez éviter l'injection SQL sans procédures stockées, et vous pouvez provoquer une injection SQL dans des procédures stockées. Nous ne pouvons pas voir ce que GreenItem_Create/ GreenItem_Updatefaire en interne - ils sont probablement bien s'ils sont simples INSERT/ UPDATEoperations. Tant qu'ils ne le font pas en EXEC (@somethingYouConcatenated)interne, ça devrait aller. Si vous ne avez besoin de construire T-SQL dans T-SQL, assurez - vous d'utiliser sp_ExecuteSQLcorrectement que SQL paramétrez dynamique.

Este artículo se recopila de Internet, indique la fuente cuando se vuelva a imprimir.

En caso de infracción, por favor [email protected] Eliminar

Editado en2021-01-25

Déjame decir algunas palabras

0Comentarios

Iniciar sesiónRevisión de participación posterior

Anterior:Mis imágenes y glifos no se muestran, pero mis caminos son correctos, ¿cómo puedo resolver este problema?

TOP Lista

Artículos

Quelles seront les meilleures pratiques dans mon code pour empêcher l'injection SQL?

Quelles seront les meilleures pratiques dans mon code pour empêcher l'injection SQL?

¿Cómo ocultar la aplicación web de los robots de búsqueda? (ASP.NET)

Pagination class not getting applied in html

Pandas의 CSV 파일을 Pandas 데이터 프레임으로 가져 오기

Opción de máquina virtual no reconocida 'MaxPermSize = 512m' cuando se ejecuta Zeppelin

OpenQA.Selenium.NoSuchElementException-C # 셀레늄

OAuth 2.0 utilizando Spring Security + WSO2 Identity Server

¿Cómo pintar el Dropline de un RowHeader-JTable en el Main-JTable durante un DragAndDrop?

Joindre avec des valeurs séparées par des virgules dans SQL Server Compact ne fonctionne pas

Recherche de la position d'index d'une valeur dans r dataframe

GPU를 사용하여 ffmpeg 필터의 처리 속도를 가속화하는 방법은 무엇입니까?

caída condicional de filas desde un marco de datos de pandas

python: ¿por qué dice variable indefinida cuando llamo función?

Error: la ejecución falló para la tarea ': app: compileDebugJavaWithJavac'. java.io.FileNotFoundException:

¿Cómo especificar el puerto en el que se aloja una aplicación ASP.NET Core?

Que signifie Decimal (-1)?

Link library in Visual Studio, why two different ways?

¿Cómo determinar la menor cantidad de incrementos de Y necesarios para trazar un múltiplo de 5 en una gráfica?

nested observables executed one after the other after termination

uitableview delete button image in iOS

C # cómo eliminar la última línea de un bucle

R - ggplot2 - use raster as greyscale basemap