C#sqlite注入
如果我更改选择
String insSQL2
= "select * from Produtos where nome = '" + txtBuscaNome.Text + "'"
到
String insSQL2
= "select * from Produtos where nome = ''" + txtBuscaNome.Text + "''"
会阻止sql注入吗?
问题答案:
不。
SQL注入不是创造性地使用引号字符。这是关于将输入视为 数据 而不是 代码 。看一下经典的SQL注入漏洞:
"SELECT * FROM Users WHERE Id = " + someValue;
从直观 上看 ,您 似乎 将其someValue用作数据值,但 实际上是 将其用作 实际的SQL代码
。SQL引擎不会将此视为值参数,而是将其视为正在执行的命令的一部分。该代码 应该 只是一个值,但 可以 是任何值。而且您将执行提供的任何代码。
以这种方式进行思考,很明显,您永远不应在应用程序中 执行用户提供的代码 。
替代方法是将用户输入视为 预定义 代码中的值。这样,您可以控制代码的完整范围,并且用户仅提供值。看起来更像这样:
"SELECT * FROM Users WHERE Id = @id";
现在,SQL引擎将看到该参数(@id),并希望您为该参数提供一个 值 。在ADO.NET中,它可能类似于:
someCommand.Parameters.AddWithValue("@id", someValue);
现在,SQL引擎知道这是一个数据值而不是代码,因此它将其视为数据而不是执行它。
-
主要内容:防止 SQL 注入如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚本和 SQLite 语句的安全。 注入通常在请求用户输入时发生,比如需要用户输入姓名,但用户却输入了一个 SQLite 语句,而这语句就会在不知不觉中在数据库上运行。 永远不要相信用户提供的数据,所以只处理通过验证的数据,
-
主要内容:安装,C/C++ 接口 API,连接数据库,创建表,INSERT 操作,SELECT 操作,UPDATE 操作,DELETE 操作安装 在 C/C++ 程序中使用 SQLite 之前,我们需要确保机器上已经有 SQLite 库。可以查看 SQLite 安装章节了解安装过程。 C/C++ 接口 API 以下是重要的 C&C++ / SQLite 接口程序,可以满足您在 C/C++ 程序中使用 SQLite 数据库的需求。如果您需要了解更多细节,请查看 SQLite 官方文档。 序号 AP
-
SQLite C++ Wrapper 是一个 C++ 语言对 SQLite 的最小封装包。 示例代码1: #include <string> #include <iostream> #include <stdexcept> using namespace std; #include "sqlite3x.hpp" using namespace sqlite3x; int main(void) {
-
本文向大家介绍使用C / C ++和SQLite的SQL,包括了使用C / C ++和SQLite的SQL的使用技巧和注意事项,需要的朋友参考一下 在本节中,您将学习如何在C / C ++程序中使用SQLite。 安装 在我们的C / C ++程序中开始使用SQLite之前,您需要确保在计算机上设置了SQLite库。您可以查看“ SQLite安装”一章以了解安装过程。 C / C ++接口API
-
本文向大家介绍SQLite教程(二):C/C++接口简介,包括了SQLite教程(二):C/C++接口简介的使用技巧和注意事项,需要的朋友参考一下 一、概述: 在SQLite提供的C/C++接口中,其中5个APIs属于核心接口。在这篇博客中我们将主要介绍它们的用法,以及它们所涉及到的核心SQLite对象,如database_connection和prepared_statement。相比于
-
问题内容: 考虑以下代码 问题在于,SQL语句中的引号没有被转义。如果我使用PHP编程,则在将字符串插入SQL查询之前,将使用sqlite_escape_string之类的函数对字符串进行转义,但是我似乎找不到C ++中的等效函数。我可以构建自己的sqlite_escape_string之类的函数,但我确定必须已经编写/测试了一个… C ++是否有sqlite_escape_string()等效函