当前位置：文江博客话题详情

SqlCommand 类仅强制 SELECT？

发布于 2024-09-18 00:53:03 字数 232 浏览 3 评论 0原文

我正在开发一个用于 SQL 监视的应用程序，它只是一个控制台应用程序，每 5 分钟在一组服务器上运行一次。它有一个带有连接字符串和 SQL 查询的配置文件。问题是我希望程序只接受 SELECT 查询。

我的同事告诉我，他认为我可以在 SqlCommand 类中设置一些东西，但我已经用谷歌搜索了一段时间，但没有成功。有人对我的问题有一个干净的解决方案吗？我曾考虑过在查询中搜索不同的单词，但可能会出错。

欢迎任何建议！

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

°如果伤别离去 2024-09-25 00:53:03

数据库表本身可以被限制。
您可以撤销所有权限，但可以从应用程序的用户中进行选择。
搜索 SQL-SERVER 的 REVOKE/GRANT 命令。

回复收藏 0 原文

很酷不放纵 2024-09-25 00:53:03

除非您的应用程序自己构建整个 SELECT 语句，否则这是不可能的。

问题是，即使您确保第一个单词是 SELECT，也无法阻止恶意用户终止命令，然后发出 EXEC 或 UPDATE 语句。

最好的解决方案是确保连接字符串中引用的用户帐户对 SQL 对象具有有限的权限，因此只有来自支持的对象的 SELECT 才有效。

回复收藏 0 原文

长不大的小祸害 2024-09-25 00:53:03

授予权限将是更好的方法，但您仍然可以解析该语句，即使它是一系列 SQL 命令，使用如下所示：

bool OkToRun = true;
foreach(string s in TheQueryString.Split(";".ToCharArray(), StringSplitOptions.RemoveEmptyEntries))
    if (!s.Trim().ToUpper().StartsWith("SELECT "))
        OkToRun = false;

Granting privileges would be the better way to go, but you can still parse the statement, even if its a series of SQL commands, using something like this:

bool OkToRun = true;
foreach(string s in TheQueryString.Split(";".ToCharArray(), StringSplitOptions.RemoveEmptyEntries))
    if (!s.Trim().ToUpper().StartsWith("SELECT "))
        OkToRun = false;

回复收藏 0 原文

~没有更多了~