SQL 注入和 .NET 4

Question

.NET 4 中是否有工具可以针对 SQL 注入“自动”验证 SQL 字段？

我看到了这篇文章，但恐怕可能不是最新的......

编辑：
Oracle 数据库兼容...

Answer 1

ADO.NET 中最简单的工具是对所有可变的查询值使用sql 参数。这也具有效率优势。即使您的代码中有显式 sql 并且根本不使用存储过程或函数，您仍然可以通过使用相同的查询字符串而仅改变参数值来获得这两个优点。

有时（例如使用搜索引擎）您可能确实需要动态构建 sql 命令文本，而无法使用 sql 参数。这是不幸的，因为保护自己免受 SQL 注入的其他方法（各种清理和关键字黑名单）更加复杂，并且需要您深思熟虑和聪明。尽量避免这种情况！

Answer 2

我相信您可以通过使用 sqlparameters 来避免该问题。

Answer 3

这是一个“ADO.NET”问题吗？如果是的话，那么 SQLParameters 就是你的朋友。 Scott Gu 关于这个主题的文章很旧，但仍然非常有用，并且提供了很好的建议。

http://weblogs .asp.net/scottgu/archive/2006/09/30/Tip_2F00_Trick_3A00_-Guard-Against-SQL-Injection-Attacks.aspx

如果您不使用 ADO.NET，那么大多数 ORM 会为您提供防御攻击的保护。例如，LLBLGen 生成参数化查询。 Linq to SQL 也是如此。我猜他们都这样做，不过请检查一下您对 ORM 的风格:)

Answer 4

对我来说，最简单的手段就是使用Linq2Sql来查询数据库。文章中没有提及，因为它不存在。您也可以使用实体框架。它提供了更多的功能和更高的学习曲线。还有很多其他 ORM，大多数（也许全部，但我不知道）都会保护您免受 SQL 注入。另一个好处是 ORM 负责根据结果创建对象。