Обеспечение безопасности SQL-вставки

Question

Я все еще новичок в области SQL, поэтому у меня есть вопрос о том, пользуюсь ли я безопасной практикой.
У меня есть пользовательская таблица с колонкой для дополнительных заметок, которая должна содержать практически все, что может набрать человек. Я забочусь (или думаю, что так) о одинарных кавычках в поле заметок, выполнив 1002 *

notes = notes.replace("'", "''");

Затем запрос, который я выполню, составляется так:

String query = "INSERT into users (username, password, notes) VALUES('" + username + "' , '" + password + "' , '" + notes + "'";

Кроме того, что пароль не был зашифрован, что еще мне здесь не хватает? Я не ожидаю, что многие хакеры узнают о существовании этого программного обеспечения, но, опять же, никто не ожидает, что их код будет взломан.

Answer 1

Всегда используйте параметризованные запросы.

Использование ASP.NET C #:

SqlCommand cmd = new SqlCommand("INSERT INTO TableA (Username, Password, Notes) VALUES (@Username , @Password, @Notes)", Conn);
cmd.parameters.add("@Username",sqldbtype.nvarchar).value = username;
cmd.parameters.add("@Password",sqldbtype.nvarchar).value = password;
cmd.parameters.add("@Notes",sqldbtype.nvarchar).value = notes;
cmd.executenonquery();

Тогда вам не нужно беспокоиться об одинарных кавычках или SQL-инъекции.

Answer 2

Извините, у меня пока нет привилегий комментировать, но я могу сказать, что поможет использовать хранимые процедуры и использовать объектно-ориентированный стиль кодирования для использования параметров.

Вы также можете проверитьэтот сайт, так как он предоставляет много информации об улучшении вашей безопасности (включая борьбу с SQL-инъекцией): https://www.owasp.org/index.php/Main_Page

Answer 3

Google для «подготовленных заявлений» - безопасный способ выполнения запросов с пользовательским вводом.