担心 Winforms 项目中的 SQL 注入有什么意义吗？

Question

在 SO 和其他地方，如果没有人礼貌地指出最好使用参数化输入和存储过程，则几乎不可能在示例代码中发布长连接的 SQL 指令。

最近的示例 在这里。

但是担心 Winforms 项目中的 SQL 注入有意义吗？

Answer 1

有什么理由不编写安全的数据库代码吗？我不这么认为。

每个人都应该养成安全执行 SQL 的习惯，这样你在编写公共应用程序时甚至不必考虑它。

还要考虑到许多原本打算保密的代码最终将在几个月或几年后变得可供公开访问。例如，“嘿，这个用于库存报告的内联网应用程序很有用，为什么我们不将其上传到我们的公共网站以供我们的业务合作伙伴使用？”

• 使用参数将未经验证的数据与 SQL 查询分开。
• 您可以将经过验证的数据插入到 SQL 查询中。也就是说，如果您有代码来测试变量只能是整数（例如），那么将其视为整数是安全的。
• 对于查询的其他动态部分（表名、列名、表达式等），您不能使用查询参数。但您可以将用户输入映射到硬编码字符串。例如，如果用户输入 1，则按 date 列排序。如果用户输入 2，则按 status 列排序。
• 忽略那些说“只使用存储过程！”的程序员。好像这与防御 SQL 注入有关。事实并非如此。

Answer 2

现实生活中的史诗故事：中西部公司的老大来查看项目进展。不知道这是怎么发生的，但不知何故，调度办公室为一位从未见过的客户下了一组新订单。大约在老板过来查看的时候就开始生产了。他的姓氏是奥肖内西。

使用参数化输入不仅仅可以避免 SQL 注入。

Answer 3

是的，出于您在其他项目中看到的所有原因。

您的用户群可能较小，但也存在同样的危险。