如何防止SQL注入的asp.net網站

Question

對於由我做客戶端檢查用戶，文本框電子郵件條目查找電子郵件是否有效與否

string emailexist = "SELECT COUNT(DISTINCT UserID) as count FROM tbl_user WHERE Email=@Email ";  


    <asp:RegularExpressionValidator ID="RegularExpressionValidator2" ValidationGroup="Login" ControlToValidate="txtUserName" 
          ValidationExpression="\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*" CssClass="Error" 
          runat="server" /> 

是這個規則表達式足以防止電子郵件的SQL注入。

其他文本：

string groupExistQuery = "SELECT COUNT(DISTINCT GroupID) as count FROM tbl_group WHERE GroupName=@GroupName"; 

我做在服務器端查詢，以檢查用戶輸入組名是否在數據庫中已經可用，還有就是在這裏進行SQL注入有很大的可能性。我應該如何防止它。

Answer 1

正則表達式是無關 SQL注入（黑名單等是從來沒有最強的方法）;然而，參數@Email的使用意味着（假設它保持參數化），即而不是易受SQL注入影響。

SQL注入涉及不適當的輸入級聯;打擊它的主要工具是參數，這已經發生在這裏。

例如，如果你這樣做：

var sql = "SELECT ...snip... WHERE Email='" + email + "'"; // BAD!!!!! 

然後即在很大程度上容易受到SQL注入。通過使用參數，該值不被視爲查詢的一部分，因此攻擊者不具有攻擊向量。

Answer 2

您可以通過不使用直接SQL並使用參數化查詢和/或存儲過程來阻止它。

Answer 3

如果使用參數化的值，那麼無論如何，您都無法通過參數注入，只能通過連接值進行注入。

Answer 4

Here是來自微軟的回覆模式&練習組對你的問題。

一般來說，簡單的規則是：不使用動態SQL生成，如果你這樣做，則清理你的輸入。

從不只是連接字符串來構建您的SQL查詢。如果您需要在您的應用程序中自行構建查詢，那麼使用帶參數的參數化SQL查詢 - 這樣您就安全起來了。

下面是我提供的鏈接上面的文檔的示例：

DataSet userDataset = new DataSet(); 
    SqlDataAdapter myCommand = new SqlDataAdapter( 
      "LoginStoredProcedure", connection); 
    myCommand.SelectCommand.CommandType = CommandType.StoredProcedure; 
    myCommand.SelectCommand.Parameters.Add("@au_id", SqlDbType.VarChar, 11); 
    myCommand.SelectCommand.Parameters["@au_id"].Value = SSN.Text; 

    myCommand.Fill(userDataset); 

Answer 5

1. 使用參數化值
2. 編碼您的字符串