Как построить параметризованный запрос или пользователь, выходящий из этого оператора SQL в C #?

Question

command.CommandText = String.Format("CREATE LOGIN {0} WITH password='{1}'", loginName, password);

loginName и пароль основаны на вводе данных пользователем

Я понимаю, что делать это таким образом - плохая практика, но как избежать SQL-инъекций здесь?

Answer 1

Позвоните sp_addlogin вместо этого - он уже параметризован

Answer 2

Вы можете параметризовать такие запросы, заключив ваш запрос DDL в exec следующим образом:

command.CommandText = "exec ('CREATE DATABASE ' + @DB)"

Если затем добавить параметр для @DB как обычно, это должно работать (по крайней мере, в t-sql).

Должно быть возможно использовать CREATE LOGIN таким же образом.

Answer 3

Кажется, что самый правильный способ сделать это - использовать SQL Server SMO SDK. Мне не нужны никакие другие движки SQL, так как мы никогда точно не перейдем с SQL Server.

Answer 4

Можно попробовать что-то вроде этого:

SqlCommand cmd = new SqlCommand(
                "CREATE LOGIN @login WITH password=@pwd", conn);
SqlParameter param  = new SqlParameter();
param.ParameterName = "@login ";
param.Value         = usertextforlogin; 
cmd.Parameters.Add(param);

param  = new SqlParameter();
param.ParameterName = "@pwd";
param.Value         = usertextforpwd;   

cmd.Parameters.Add(param);

Answer 5

Вот как можно параметризовать ваш SQL. Вы также можете проверить эту статью о написании DAO , которая обрабатывает подобные вещи. Я не уверен, что вы можете параметризовать LoginName. Вам, вероятно, лучше всего позвонить sp_addlogin, как сказал предыдущий автор.

       command.CommandText=  @"CREATE LOGIN @LoginName WITH password=@Password";
        command.CommandType = CommandType.Text;
        command.Parameters.Add(new SqlParameter()
            {
                ParameterName = "@LoginName",
                Value = "MyLoginNameValue",
                SqlDbType = SqlDbType.NVarChar,
                Size = 50
            });
        command.Parameters.Add(new SqlParameter()
            {
                ParameterName = "@Password",
                Value = "MyPasswordValue",
                SqlDbType = SqlDbType.NVarChar,
                Size = 50
            });