Атаки впрыскивания Sql и дозвуковой

Question

Если я использую SubSonic для создания DAL для своего веб-проекта, нужно ли мне беспокоиться о предотвращении SQL-инъекций?

Answer 1

Это зависит от того, как вы строите свои запросы. Полностью возможно писать небезопасные запросы с дозвуковым, если вы не используете параметры.

// Bad example:

string sql = "delete from Products where ProductName = " + rawUserInput;
QueryCommand qry = new QueryCommand(sql, Product.Schema.Provider.Name);
DataService.ExecuteQuery(qry);

// Should be:

string sql = "delete from Products where ProductName = @TargetName";
QueryCommand qry = new QueryCommand(sql, Product.Schema.Provider.Name);
qry.AddParamter("@TargetName", rawUserInput, DbType.String);
DataService.ExecuteQuery(qry);

Answer 2

Нет, SubSonic использует параметры для передачи данных в базу данных, он заботится об этом.

Answer 3

Краткий ответ - нет. Если вы используете классы Subsonic Generated или Subsonic.Select для генерации ваших запросов / обновлений / вставок, вам не нужно беспокоиться о том, что SubSonic правильно использует параметры.

Однако Пол указал, что, если вы не сможете написать небезопасный SQL-код, SubSonic позволит вам. SubSonic не твоя мать, она не остановит тебя, она больше похожа на твоего лучшего друга, она скажет тебе не делать этого, но если ты решишь это сделать, это твое решение.

Answer 4

Просто чтобы представить пример Павла (если вы ограничены FK)

        string rawUserInput = "Queso Cabrales1";
        #region  BadExample
        //string sql = "delete from Products where ProductName = " + rawUserInput;
        ////QueryCommand objQueryCommand = new QueryCommand(sql, Product.Schema.Provider.Name);
        ////DataService.ExecuteQuery(objQueryCommand);
        #endregion BadExample

        #region BetterExample
        // Should be:

        string sql = "update Products set ProductName =  @ProductName where ProductName='Queso Cabrales'";
        QueryCommand objQueryCommand = new QueryCommand(sql, Northwind.Product.Schema.Provider.Name);
        objQueryCommand.AddParameter("@ProductName" , rawUserInput, DbType.String);
        DataService.ExecuteQuery(objQueryCommand);


        panGvHolder.Controls.Clear();

        Query qry = Northwind.Product.CreateQuery();
        qry.Columns.AddRange(Northwind.Product.Schema.Columns);
        qry.WHERE("UnitPrice > 15").AND("UnitsInStock < 20 ");
        //WHERE("UnitPrice > 15").AND("UnitsInStock < 30 ");
        #endregion BetterExample

        #region PresentResultsReplaceResponseWriteWithConsole.WriteLineForConsoleApp
        using (IDataReader rdr = qry.ExecuteReader())
        {
            Response.Write("<table>");
            while (rdr.Read())
            {
                Response.Write("<tr>");
                for (int i = 0; i < rdr.FieldCount; i++)
                {
                    Response.Write("<td>");
                    Response.Write(rdr[i].ToString() + " ");
                    Response.Write("<td>");
                } //eof for 
                Response.Write("</br>");
                Response.Write("</tr>");
            }
            Response.Write("<table>");
        }
        #endregion PresentResultsReplaceResponseWriteWithConsole.WriteLineForConsoleApp

    } //eof method