针对 .NET DataView RowFilter 的注入攻击

Question

因此，我正在编写一个处理程序，使用 DataView RowFilter 属性根据 AppRelativeCurrentExecutionFilePath 过滤缓存的 DataTable。 对输入进行编码以防止注入攻击的最佳方法是什么？

以下内容是否足够？ 有更好/更优雅的方法吗？

dataView.RowFilter = String.Format("Name LIKE '{0}%'", EncodeString(query));

private string EncodeString(string s)
{
    StringBuilder sb = new StringBuilder();
    for (int i = 0; i < s.Length; i++)
    {
        char c = s[i];
        if (c == '*' || c == '%' || c == '[' || c == ']')
            sb.Append("[").Append(c).Append("]");
        else if (c == '\'')
            sb.Append("''");
        else
            sb.Append(c);
    }

    return sb.ToString();
}

Answer 1

您不能在 RowFilter 中注入 sql。

编辑：正如所指出的，可以通过注入获取表中的所有行，可以像以下工作一样：

dataTable.AsEnumerable()
    .Where(r => r.Field<string>("StringColumn").Contains(userInput))
    .ToList().ForEach(r => Console.WriteLine(r.Field<string>("StringColumn")));