在ASP.NET中篩選有害的SQL選擇語句

Question

我正在公開一個Web服務，它構造SQL SELECT語句並接受來自控制器的參數。通用功能如下：

DataTable SqlSelect (string select, string from, string Where, string orderby = "", string groupBy = "") 
{ 
    string sql = "SELECT " + select + " FROM " + from + " WHERE " + where 
    (orderby =="") ? "" : "ORDER BY " + orderby ... 
    //do other stuff 
} 

現在是什麼讓我擔心的是，在給定功能基礎之上，用戶現在可以注入像有害命令：

SqlSelect("DROP TABLE 'TABLENAME'", "INFORMATION_SCHEMA.TABLES", "TABLE_NAME like %%'"); 

，我想阻止。

現在我的問題是：什麼是我可以做，以防止用戶UPDATE，MODIFY，DELETE，TRUNCATE表，只允許SELECT聲明（可以使用類似只讀？）

注意的最好的事情：這類似於this question，但用戶正在使用PHP，而我在ASP.NET MVC中，我也想在這裏實現的只是允許SELECT或'GET'語句。

Answer 1

利用數據讀取器https://msdn.microsoft.com/en-us/library/haa3afyz(v=vs.110).aspx。當你調用ExecuteReader（）時，你可以捕獲任何異常。

但是我會建議不要將這種通用功能暴露給客戶端代碼。您應該只使用類似存儲庫模式的方式，通過適當的數據層提供對數據的受控訪問。

Answer 2

不要這樣做。您需要參數化查詢，這意味着您不能接受SQL文本作爲輸入。我發現許多開發人員嘗試檢測SQL注入攻擊，並且我幾乎總是找到一種通過其邏輯的方式。

如果您需要能夠基於數據庫中的任何表動態構建任何SELECT查詢，那麼您可以輕鬆創建一個指示該表的類，選擇列以及謂詞列作爲枚舉的位置，以及where謂詞。連接基於此類的SQL文本並使用SqlParameters包含謂詞值。

這只是一個例子，但肯定你不想接受SQL文本。